软件安全联盟

网站简介
OWASP开放Web应用安全项目- Open Web Application Security Project是一个开放社群、非营利性组织,目前全球有130个分会近万名会员,其主要目标是研议协助解决Web软体安全之标准、工具与技术文件,长期致力于协助政府或企业了解并改善网页应用程式与网页服务的安全性。
云安全联盟云安全联盟CSA是在2009年的RSA大会上宣布成立的。自成立后,CSA迅速获得了业界的广泛认可。现在,CSA和ISACA、OWASP等业界组织建立了合作关系,很多国际领袖公司成为其企业成员。自其成立起,云安全联盟发布的云安全指南及其开发成为云计算领域令人瞩目的安全活动。

软件安全测试工具

工具介绍
Fortify静态代码安全扫描工具
Checkmarx静态代码安全扫描工具
OWASP Dependency Check第三方依赖安全扫描工具
Victims第三方依赖扫描工具
SQLMAPSQL注入扫描工具
AcunetixWeb系统漏洞扫描工具
OWASP ZAPWeb系统漏洞扫描工具
Burp SuiteWeb系统漏洞扫描工具
N-StalkerWeb系统漏洞扫描工具
Nmap服务器端口扫描工具
Metasploit漏洞探索工具
Wireshark网络包嗅探工具
THC Hydra密码破解工具
Aircrack-ng密码破解工具
John The Ripper密码破解工具

软件安全漏洞库

网站介绍
美国国家安全漏洞库NVD是美国政府使用SCAP(Security Content Automation Protocol )管理的一个标准的安全漏洞数据库。NVD包含了安全检查清单,软件的安全漏洞,错误配置,产品名字和影响度量等。
乌云(关闭)乌云是一个位于厂商和安全研究者之间的安全问题反馈平台,其提供了一个丰富的安全漏洞库。
中国国家信息安全漏洞库中国国家信息安全漏洞库,英文名称"China National Vulnerability Database of Information Security",简称"CNNVD",是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库。

软件安全书籍

书目作者
The Web Application Hacker's Handbook Second Edition. Dafydd Stuttard, Marcus Pinto, 2011
Fuzzing Brute Force Vulnerability Discovery.Michael Sutton, Adam Greene, 2007
白帽子讲Web安全Han Qingwu, 2014
iOS Hacker's HandbookCharlie Miller, Dion Blazakis, 2012
Android Hacker's HandbookJoshua J. Drake、 Zach Lanier, 2014
Threat ModelingAdam Shostack, 2014
OWASP Code ReviewOWASP Foundation, 2009
OWASP Testing GuideOWASP Foundation, 2009
Software Assurance Maturity Model(SAMM)OpenSAMM Project, 2009
Automated Threat Handbook.OWASP Foundation, 2015

其他资料

Security Development Lifecycle微软的提出来的一套软件安全开发流程
OWASP Top 10 2013OWASP 2013年发布的前10大Web应用程序安全风险
OWASP Top 10 Mobile Risks 2014OWASP 2014年发布的前10大移动应用安全风险
OpenSAMM软件保证成熟度模型