下载掌阅APP,畅读海量书库
立即打开
1.试述软件漏洞的概念,谈谈软件漏洞与软件错误、软件缺陷、软件Bug的区别与联系。
2.为什么说安全缺陷或者说Bug是一个需要考虑具体环境、具体对象的概念?
3.试分析软件漏洞的成因。
4.软件漏洞如何分类分级管理?
5.软件漏洞管理应当遵循怎样的标准?
6.软件漏洞买卖合法吗?软件漏洞应当如何管控?
7.厂商发布漏洞信息的标准过程是怎样的?
8.知识拓展:目前已有的漏洞库可以划分为国家级漏洞库、行业和民间级、软件厂商漏洞库3类。请访问以下漏洞库,试从所属机构、漏洞库名称、漏洞数据类型及数量、漏洞类型和相关产品等方面进行比较。
[1]中国国家信息安全漏洞库(China National Vulnerability Database of Information Security,CNNVD),http://www.cnnvd.org.cn。
[2]美国国家漏洞库(National Vulnerability Database,NVD),https://nvd.nist.gov。
[3]日本漏洞通报(Japan Vulnerability Notes,JVN),http://www.jpcert.or.jp/english/vh/project.html。
[4]印度计算机应急响应小组漏洞通告(Cert-In Vulnerability Note,CIVN),http://www.cert-in.org.in。
[5]国家信息安全漏洞共享平台(China National Vulnerability Database,CNVD),http://www.cnvd.org.cn。
[6]国家计算机网络入侵防范中心漏洞库(National Computer Network Intrusion Protection Center,NCNIPC),http://www.nipc.org.cn。
[7]开源漏洞库(Open Sourced Vulnerability Database,OSVDB),http://osvdb.com。
[8]BugTraq漏洞库,http://www.securityfocus.com/archive/1。
[9]Secunia漏洞库,http://secunia.com。
[10]安全内容自动化协议(Security Content Automation Protocol,SCAP)中文社区,http://www.scap.org.cn。
[11]FreeBuf漏洞盒子,https://www.vulbox.com。
[12]Seebug漏洞平台,https://www.seebug.org。
[13]威客安全众测平台,http://www.secwk.com。
[14]微软漏洞公告,https://technet.microsoft.com/zh-cn/security/bulletins。
[15]补天漏洞响应平台,http://butian.360.cn。
9.读书报告:请阅读以下安全漏洞披露的报告,了解并分析漏洞披露过程中应当遵循的原则、应当注意的问题,以及一些最佳实践。
[1]美国国防部发布的《安全漏洞披露政策》(Vulnerability Disclosure Policy)https://www.defense.gov/News/News-Releases/News-Release-View/Article/1009956/dod-announces-digital-vulnerability-disclosure-policy-and-hack-the-army-kick-off/。
[2]美国司法部发布的《在线系统漏洞披露计划框架》(A Framework for a Vulnerability Disclosure Program for Online Systems)。
[3]美国卡内基梅隆大学软件工程研究所CERT部门发布的《CERT漏洞协同披露指南》(The CERT Guide to Coordinated Vulnerability Disclosure)。
10.读书报告:请访问CWE官网(http://cwe.mitre.org)和OWASP官网(https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project),比较分析CWE Top25和OWASP Top10对漏洞的划分有什么不同。