软件安全知识

软件安全知识可以归成为七种（原则、方针 、规则、弱点、攻击程序、攻击模式和历史 风险），并划分为三个知识类（说明性知识 、诊断性知识和历史知识） 描述性知识：包括原则、方针和规则 原则和方针是从方法论的高度进行定义和描述 规则是从代码级角度进行有针对性地抽象和统一描述性知识类提供了一些建议，旨在说明该 做什么和在构建安全的软件时应该避免什么

历史知识包括历史风险，在有些情形下也包 括弱点的历史数据库这类知识还包括对在实际的软件开发中所发现的 特定问题的详细描述，以及该问题产生的影响 诊断性知识：包括攻击模式、攻击程序和弱点 攻击模式采用较抽象的形式来描述常见的攻击程序，这种形式能够应用于跨越多个系统的情形，即在多个系统中均存在的攻击模式，该知识可被安全分析人员所利用，如基于滥用案例的可靠性检测等。攻击程序描述了弱点实例如何被用来对特定系统造成特别的安全危害 弱点知识是对真实系统中出现过并报告的软件弱点的描述诊断性知识不仅包括关于实践的描述性陈述，其更重要的目标是帮助操作人员识别和处理导致安全攻击的常见问题