품목정보
발행일	2012년 08월 06일
쪽수, 무게, 크기	780쪽 \| 1368g \| 18323540mm
ISBN13	9788979149500
ISBN10	8979149506

더보기

CHAPTER 01 개요 잘못된 신뢰 삽입 공격 비밀 데이터 유출 접근 권한 유출 서비스 거부 직렬화 동시성, 가시성, 메모리 최소 권한 원칙 보안 관리자 클래스 로더 결론 CHAPTER 02 입력 검증 및 데이터 새니타이즈(IDS) __규칙 __위험 평가 요약 __IDS00-J 신뢰 경계를 넘어온 데이터는 새니타이즈한다 __IDS01-J 문자열을 검증하기 전에 정규화한다 __IDS02-J 경로 이름을 검증하기 전에 규범화한다 __IDS03-J 새니타이즈하지 않은 사용자 입력은 로그에 남기지 않는다 __IDS04-J ZipInputStream에 전달된 파일 크기를 제한한다 __IDS05-J 파일과 경로 이름에 ASCII 문자의 일부만 사용한다 __IDS06-J 포맷 문자열에 사용자 입력을 포함하지 않는다 __IDS07-J 신뢰하지 않고 새니타이즈하지 않은 데이터를 Runtimeexec( ) 메서드에 전달하지 않는다 __IDS08-J regex에 전달할 신뢰하지 않는 데이터를 새니타이즈한다 __IDS09-J 로케일을 설정하기 전에는 로케일에 의존하는 데이터에 로케일에 의존하는 메서드를 사용하지 않는다 __IDS10-J 두 데이터 구조 간에 문자를 분할하지 않는다 __IDS11-J 검증하기 전에 비문자 코드를 제거한다 __IDS12-J 인코딩 변경할 때 문자열 데이터를 무손실 변환한다 __IDS13-J 파일이나 네트워크에 입출력할 때 양단에 호환되는 인코딩을 사용한다 CHAPTER 03 선언과 초기화(DCL) __규칙 __위험 평가 요약 __DCL00-J 클래스를 초기화할 때 순환을 예방한다 __DCL01-J 자바 표준 라이브러리의 식별자를 재사용하지 않는다 __DCL02-J 향상된 for 문의 모든 루프 변수는 final로 선언한다 CHAPTER 04 표현식(EXP) __규칙 __위험 평가 요약 __EXP00-J 메서드가 반환한 값을 무시하지 않는다 __EXP01-J 널 포인터를 역참조하지 않는다 __EXP02-J 배열 내용을 비교하려면 인자를 두 개 받는 Arraysequals( ) 메서드를 사용한다 __EXP03-J 박싱된 기본형을 비교할 때 동등 비교 연산자를 사용하지 않는다 __EXP04-J 오토박싱된 기본형의 값이 의도한 형인지 확인한다 __EXP05-J 식 하나 안에서 동일 변수에 두 번 이상 쓰지 않는다 __EXP06-J assert 문 안에 부작용이 있는 표현을 사용하지 않는다 CHAPTER 05 수치형과 연산 (NUM) __규칙 __위험 평가 요약 __NUM00-J 정수 오버플로우를 탐지하거나 예방한다 __NUM01-J 동일 데이터에 비트 연산과 수리 연산을 수행하지 않는다 __NUM02-J 나눗셈과 모듈로 연산할 때 0으로 나누지 않게 보장한다 __NUM03-J unsigned 형을 저장하는 정수형 변수는 가능한 모든 값을 표현할 수 있어야 한다 __NUM04-J 정확히 계산해야 할 때는 부동소수점형을 사용하지 않는다 __NUM05-J 비정규화된 부동소수점을 사용하지 않는다 __NUM06-J 플랫폼 간 부동소수점 연산의 결과를 동일하게 하려면 strictfp 지시자를 사용한다 __NUM07-J NaN과 값을 비교하지 않는다 __NUM08-J 부동소수점 입력 시 예외적인 값을 확인한다 __NUM09-J 루프 카운터로 부동소수점을 사용하지 않는다 __NUM10-J 부동소수점 상수를 사용해 BigDecimal 객체를 만들지 않는다 __NUM11-J 부동소수점을 나타내는 문자열을 비교하거나 검사하지 않는다 __NUM12-J 수치형 값을 더 작은 형으로 변환할 때 데이터가 손실되거나 잘못 변환되지 않게 확인한다 __NUM13-J 기본 정수형을 부동소수점형으로 변환할 때 정밀도 손실을 피한다 CHAPTER 06 객체 지향(OBJ) __규칙 __위험 평가 요약 __OBJ00-J 신뢰하는 하위 클래스만 불변 성질을 가진 클래스나 메서드를 상속할 수 있게 한다 __OBJ01-J 데이터 멤버는 private로 선언하고 접근 메서드를 제공한다 __OBJ02-J 상위 클래스를 수정할 때는 하위 클래스가 의존하는 불변 성질을 유지한다 __OBJ03-J 신규 코드에서 제네릭 클래스와 비제네릭 클래스를 함께 사용하지 않는다 __OBJ04-J 신뢰하지 않는 코드에 안전하게 객체를 전달할 수 있게 가변 클래스의 복사 기능을 제공한다 __OBJ05-J 반환하기 전에 클래스의 가변 private 멤버를 복사해 보호한다 __OBJ06-J 가변 입력과 가변 내부 컴포넌트를 복사해 보호한다 __OBJ07-J 기밀 클래스는 복제되지 않아야 한다 __OBJ08-J 중첩된 클래스를 통해 private 멤버를 노출하면 안 된다 __OBJ09-J 클래스를 비교할 때 클래스 이름으로 비교하면 안 된다 __OBJ10-J final이 아닌 public static 변수를 사용하지 않는다 __OBJ11-J 생성자가 예외를 발생시킬 수 있게 할 때는 주의한다 CHAPTER 07 메서드(Met) __규칙 __위험 평가 요약 __MET00-J 메서드 인자를 검증한다 __MET01-J 메서드 인자를 검증할 때 절대로 assert를 사용하지 않는다 __MET02-J 폐지되거나 폐지 예정인 클래스나 메서드를 사용하지 않는다 __MET03-J 보안 검사하는 메서드는 반드시 private나 final로 선언해야 한다 __MET04-J 숨기거나 오버라이드한 메서드의 접근성을 확대하지 않는다 __MET05-J 오버라이드될 수 있는 메서드를 생성자가 호출하지 않게 보장한다 __MET06-J clone( ) 메서드가 오버라이드될 수 있는 메서드를 호출하면 안 된다 __MET07-J 상위 클래스나 인터페이스의 메서드를 가리는 클래스 메서드를 선언하지 않는다 __MET08-J 동등 비교하는 객체는 동등 비교할 수 있게 보장한다 __MET09-J equals( ) 메서드를 구현하는 클래스는 반드시 hashCode( ) 메서드를 구현해야 한다 __MET10-J compareTo( ) 메서드를 구현할 때 일반적인 용법을 지원한다 __MET11-J 비교 연산에 사용하는 키는 불변형이어야 한다 __MET12-J finalize( ) 메서드를 사용하지 않는다 CHAPTER 08 예외 처리(ERR) __규칙 __위험 평가 요약 __ERR00-J 필수처리 예외를 억제하거나 무시하지 않는다 __ERR01-J 예외에 의해 기밀 정보가 유출되지 않게 한다 __ERR02-J 로그를 저장하는 동안 예외가 발생하지 않게 한다 __ERR03-J 메서드가 실패하면 객체를 이전 상태로 복구한다 __ERR04-J finally 블럭에서 갑작스럽게 빠져나가지 않는다 __ERR05-J 필수처리 예외가 finally 블럭을 빠져나가지 못하게 한다 __ERR06-J 선언하지 않은 예외를 발생시키지 않는다 __ERR07-J RuntimeException, Exception, Throwable 예외를 발생시키지 않는다 __ERR08-J NullPointerException과 상위 예외를 잡지 않는다 __ERR09-J 신뢰하지 않는 코드가 JVM을 종료하지 못하게 한다 CHAPTER 09 가시성과 원자성(VNA) __규칙 __위험 평가 요약 __VNA00-J 공유된 기본형 변수에 접근할 때 가시성을 보장한다 __VNA01-J 불변 객체에 대한 공유된 참조의 가시성을 보장한다 __VNA02-J 공유된 변수에 대한 복합 연산의 원자성을 보장한다 __VNA03-J 독립적으로 호출한 일련의 원자적 메서드 전체를 원자적이라고 가정하지 않는다 __VNA04-J 연결된 메서드를 호출할 때 호출된 전체 메서드의 원자성을 보장한다 __VNA05-J 64비트 값을 읽고 쓸 때 연산의 원자성을 보장한다 CHAPTER 10 락(LCK) __규칙 __위험 평가 요약 __LCK00-J 신뢰하지 않는 코드에 접근하는 클래스를 동기화하려면 private final 락 객체를 사용한다 __LCK01-J 재사용될 수 있는 객체를 이용해 동기화하지 않는다 __LCK02-J getClass( )에 의해 반환된 클래스 객체를 이용해 동기화하지 않는다 __LCK03-J 상위 수준의 동시성 객체를 이용해 동기화하지 않는다 __LCK04-J 지원 컬렉션에 접근할 수 있을 때 컬렉션 뷰로 동기화하지 않는다 __LCK05-J 신뢰하지 않는 코드가 수정할 수 있는 static 필드를 접근할 때는 동기화한다 __LCK06-J 공유된 static 데이터를 보호하고자 인스턴스 객체를 락으로 사용하지 않는다 __LCK07-J 락을 동일한 순서로 요청하고 해제하여 데드락을 피한다 __LCK08-J 예외 조건 처리 시 활성화된 락을 반드시 해제한다 __LCK09-J 락을 활성화한 후 블럭될 수 있는 연산을 수행하지 않는다 __LCK10-J 이중 검사 동기화의 잘못된 형태를 사용하지 않는다 __LCK11-J 락 정책을 완전히 구현하지 않는 클래스를 사용할 때 클라이언트 측에서 락하지 않는다 CHAPTER 11 스레드 API(THI) __규칙 __위험 평가 요약 __THI00-J Threadrun( ) 메서드를 호출하지 않는다 __THI01-J ThreadGroup 메서드를 호출하지 않는다 __THI02-J 특정 스레드 대신 대기하는 모든 스레드에 노티피케이션을 보낸다 __THI03-J wait( )와 await( ) 메서드는 언제나 루프 안에서 호출한다 __THI04-J 블럭된 연산을 수행하는 스레드는 종료될 수 있음을 보장한다 __THI05-J 스레드를 종료하고자 Threadstop( ) 메서드를 사용하지 않는다 CHAPTER 12 스레드 풀(TPS) __규칙 __위험 평가 요약 __TPS00-J 트래픽이 폭주할 때 성능이 완만히 저하되게 스레드 풀을 사용한다 __TPS01-J 스레드 풀 안에서 상호 의존적인 작업을 수행하지 않는다 __TPS02-J 스레드 풀에 들어간 작업은 인터럽트될 수 있음을 보장한다 __TPS03-J 스레드 풀에서 수행되는 작업이 에러 없이 실패하지 않게 보장한다 __TPS04-J 스레드 풀을 사용할 때 스레드 로컬 변수가 다시 초기화되게 보장한다 CHAPTER 13 그 외 스레드 안전(TSM) __규칙 __위험 평가 요약 __TSM00-J 스레드 안전한 메서드를 스레드 안전하지 않은 메서드로 오버라이드하지 않는다 __TSM01-J 객체 생성 중 this 참조가 유출되지 않게 한다 __TSM02-J 클래스 초기화 중 백그라운드 스레드를 사용하지 않는다 __TSM03-J 일부분만 초기화된 객체를 공개하지 않는다 CHAPTER 14 입출력(FIO) __규칙 __위험 평가 요약 __FIO00-J 공유 디렉터리에 있는 파일에 작업하지 않는다 __FIO01-J 파일 생성 시 적절한 접근 권한을 부여한다 __FIO02-J 파일 관련 에러를 탐지하고 처리한다 __FIO03-J 작업을 종료하기 전에 임시 파일을 삭제한다 __FIO04-J 필요 없어진 리소스는 닫는다 __FIO05-J 신뢰하지 않는 코드에 wrap( )이나 duplicate( ) 메서드로 생성한 버퍼를 노출하지 않는다 __FIO06-J 한 InputStream에 여러 버퍼 래퍼를 만들지 않는다 __FIO07-J 외부 프로세스가 입출력 스트림을 기다리게 하지 않는다 __FIO08-J 글자나 바이트를 읽는 메서드의 반환값을 저장하려면 int 형을 사용한다 __FIO09-J 0부터 255 이외의 정수를 출력할 때 write( ) 메서드를 사용하면 안 된다 __FIO10-J read( )로 배열을 채울 때 배열이 제대로 채워졌음을 확인한다 __FIO11-J 이진 데이터를 문자 데이터로 읽지 않는다 __FIO12-J 리틀-엔디안 데이터를 읽고 쓰는 메서드를 제공한다 __FIO13-J 신뢰 경계 외부에 기밀 정보 로그를 남기지 않는다 __FIO14-J 프로그램을 종료할 때 적절히 정리한다 CHAPTER 15 직렬화(SER) __규칙 __위험 평가 요약 __SER00-J 클래스를 변경할 때 직렬화 호환성을 유지한다 __SER01-J 직렬화 메서드의 적절한 시그너처를 유지한다 __SER02-J 신뢰 경계 외부로 기밀 객체를 전송할 때 서명하고 봉인한다 __SER03-J 암호화 안 한 기밀 데이터를 직렬화하지 않는다 __SER04-J 보안 관리자를 피해 직렬화 및 역직렬화할 수 없게 한다 __SER05-J 내부 클래스 객체를 직렬화하지 않는다 __SER06-J 역직렬화하는 동안 private 가변 컴포넌트를 복사해 보호한다 __SER07-J 불변 성질을 갖고 있는 객체는 기본 직렬화 형태를 사용하면 안 된다 __SER08-J 높은 권한을 갖고 있으면 역직렬화하기 전에 권한을 최소화한다 __SER09-J readObject( ) 메서드 안에서 오버라이드될 수 있는 메서드를 호출하지 않는다 __SER10-J 직렬화하는 동안 메모리와 리소스가 누수되지 않게 한다 __SER11-J Externalizable 객체의 내용을 덮어쓰지 못하게 한다 CHAPTER 16 플랫폼 보안(SEC) __규칙 __위험 평가 요약 __SEC00-J 권한이 있는 코드가 신뢰 경계 외부에 기밀 정보를 유출하지 못하게 한다 __SEC01-J 권한이 있는 코드 안에서 신뢰하지 않는 변수를 사용하지 않는다 __SEC02-J 신뢰하지 않는 외부 데이터를 직접 보안 검사하지 않는다 __SEC03-J 신뢰하지 않는 코드가 임의의 클래스를 로드하게 허용한 후 신뢰하는 클래스를 로드하면 안 된다 __SEC04-J 보안 관리자 검사를 이용해 기밀 연산을 보호한다 __SEC05-J 리플렉션으로 클래스, 메서드, 필드에 접근성을 확대하면 안 된다 __SEC06-J URLClassLoader와 javautiljar가 제공하는 기본 자동 서명 검증 기능에 의존하지 않는다 __SEC07-J 사용자 정의 클래스 로더를 작성할 때 상위 클래스의 getPermissions( ) 메서드를 호출한다 __SEC08-J 네이티브 메서드에 대한 래퍼를 정의한다 CHAPTER 17 런타임 환경(ENV) __규칙 __위험 평가 요약 __ENV00-J 권한이 없는 연산만 실행하는 코드는 서명하지 않는다 __ENV01-J 모든 보안 코드는 단 하나의 jar 파일에 넣어 서명하고 봉인한다 __ENV02-J 환경 변수 값을 신뢰하지 않는다 __ENV03-J 위험한 권한 조합을 부여하지 않는다 __ENV04-J 바이트 코드 검증을 비활성화하면 안 된다 __ENV05-J 원격에서 감시할 수 있는 애플리케이션은 배포하지 않는다 CHAPTER 18 기타(MSC) __규칙 __위험 평가 요약 __MSC00-J 안전하게 데이터를 교환하려면 Socket 대신 SSLSocket을 사용한다 __MSC01-J 빈 무한 루프를 사용하면 안 된다 __MSC02-J 강력한 난수를 생성한다 __MSC03-J 기밀 정보는 결코 하드코딩하면 안 된다 __MSC04-J 메모리를 누수시키지 않는다 __MSC05-J 힙 영역을 고갈시키지 않는다 __MSC06-J 루프에서 나열하는 동안 참조하는 컬렉션을 수정하지 않는다 __MSC07-J 싱글톤 클래스가 여러 객체를 만들지 않게 한다

더보기

저자 소개 관련자료 보이기/감추기

저자 : 프레드 롱

프레드 롱은 영국 애버리스트위스 Aberystwyth 대학 선임 강사이자 교학부장이다. 정형 기법 Formal Methods 과 자바, C++, C 프로그래밍 패러다임과 프로그래밍 관련 보안 문제를 강의하며, 영국 컴퓨터 학회 웨일즈 중부 지역 의장이다. 1992년부터 소프트웨어 공학 연구소 객원 연구원을 역임하고 있으며, 현재는 자바 취약점을 조사하는 연구를 진행하고 있다.

저자 : 드루브 모힌드라

드루브 모힌드라는 인도 Persistent Systems사의 선임 소프트웨어 엔지니어로, 기업 서버의 모니터링 소프트웨어를 개발하고 있다. 소프트웨어 공학 연구소의 CERT 팀에서 일했으며, 프로그래밍 커뮤니티에서 보안 의식 상태를 고취하고자 공동으로 여러 가지 작업을 했다. 정보 보안 정책과 관리로 석사 학위를 받은 후 카네기 멜론 대학교에서 근무했었으며, 인도 퓬 대학교에서 컴퓨터 공학으로 학사 학위를 받았다. 대학 재학 시절 Calsoft사에서 연구원으로 근무했으며, 왕성한 집필 활동으로 기술 잡지와 웹사이트에 글을 기고하기도 한다. 서비스 지향 애플리케이션, 서버 모니터링 소프트웨어, 모바일 앱, 웹 기반 데이터 마이너 Data Miner를 개발하고, 보안을 강화하고 사용자에게 친숙한 보안 인터페이스를 설계하면서 얻은 경험을 세상에 알리고 있다.

저자 : 로버트 C. 시코드

로버트 C. 시코드는 컴퓨터 보안 전문가이자 저술가이다. 컴퓨터 보안, 레거시 시스템 현대화, 컴퓨터 기반 소프트웨어 공학에 관한 책을 저술했다. 펜실베니아 피츠버그에 있는 카네기 멜론 소프트웨어 공학 연구소에 위치한 CERT에서 보안 코딩 구상(Secure Coding Initiative)을 관리하고 있다. CERT는 보안 관련 활동을 많이 하고 있지만, 그 중에서 정기적으로 소프트웨어 취약점 보고서를 분석하고 인터넷과 여타 중요 기반 시설에 미치는 위험을 평가한다. 카네기 멜론 대학교 컴퓨터 과학 학부와 정보 네트워킹 연구소에서 겸임 교수를 맡고 있다. 1982년부터 IBM에서 프로그래밍을 시작해서 통신과 운영체제 소프트웨어, 프로세서 개발, 소프트웨어 공학에 관련된 업무를 수행했다. 또한 X 컨소시엄에서 공통 데스크탑 환경(Common Desktop Environment)과 X 윈도 시스템 코드를 개발하고 유지 보수했다. 렌설리어 종합기술대학(Rensselaer Polytechnic Institute)에서 컴퓨터 과학으로 학사 학위를 받았다.

저자 : 딘 F. 서덜랜드

CERT의 선임 소프트웨어 보안 엔지니어이다. 2008년도에 카네기 멜론 대학교에서 소프트웨어 공학 박사 학위를 받았으며, 학교에 돌아오기 전 14년 동안 Tartan사에서 소프트웨어 엔지니어로 근무했다. 이 기간 중 마지막 6년 동안 기술 참모 선임 참여자였으며, 컴파일러 후반부 기술 팀장이었다. 회사 R&D 그룹의 핵심 멤버로 Tartan의 신규 소프트웨어 개발 프로세스를 설계하고 집행하는 것을 지휘하고 R&D 프로젝트를 이끌었고, 12명으로 구성된 컴파일러 후반부 개발팀의 기술과 프로젝트 팀장이었다.

저자 : 데이비드 수오보다

데이비드 수오보다는 CERT의 소프트웨어 보안 엔지니어이다. 그는 1991년부터 카네기 멜론 대학교의 다양한 소프트웨어 개발 프로젝트의 주요 개발자였다. 계층 구조 칩 모델링, 소셜 조직 시뮬레이션에서 자동 기계 번역에 이르기까지 다양한 프로젝트에 참여해 개발했으며, 1996년에 개발한 KANTOO 자동 번역기는 현재까지 캐터필라에서 생산 과정에 사용한다. 그는 자바 2부터 시작해 13년이 넘게 자바로 개발해왔으며, 톰캣 서블릿과 이클립스 플러그인 등을 개발해왔다. 그는 C 언어 표준화 JTC1/SC22/WG14 그룹과 C++ 언어 표준화 JTC1/SC22/WG21 그룹 등 ISO의 여러 표준화 그룹에 활발히 참여하고 있다.

역자 : 강권학

중앙대학교 컴퓨터공학과에서 학사와 석사 학위를 받았다. 국방과학연구소, 퓨쳐시스템, 안철수연구소에서 13년간 개발자, 보안 전문가, 프로젝트 관리자로 근무하였으며 2009년 4월 호주 멜버른에 iGonagi Pty. Ltd.를 설립하고 아이폰 애플리케이션을 개발하고 있다. 『Head First iPhone Development』(한빛미디어, 2010), 『Head First Programming』(한빛미디어, 2011), 『iPhone
Programming 제대로 배우기』(한빛미디어, 2010), 『iPhone 3D Programming』(한빛미디어, 2010), 『만들면서 배우는 아이폰 게임 프로그래밍, 개정판』(한빛미디어, 2012) 등을 번역 집필했다.

더보기

책 속으로 책속으로 보이기/감추기

90년대 들어 일반인도 인터넷에 접속할 수 있게 되면서 인터넷은 무한한 탐구의 장이 되었습니다. 초기에 사용한 gopher, archie 등 텍스트 터미널 기반의 서비스가 Mosaic과 HTML/WWW를 시작으로 그래픽 기반의 환경으로 넘어가면서, 일반인도 사용하기 쉬워지고 다양한 멀티미디어를 쉽게 공유하고 확산시킬 수 있게 되었습니다. 저도 WWW Virtual Library에서 당시에 다른 방법으로 구하기에는 너무 비쌌던 논문을 쉽게 구해 공부하고 연구할 수 있어 무사히 학위 논문을 썼던 기억이 납니다.
그러나 인터넷에 실시간으로 다양한 정보가 넘쳐 나고, 금융 거래나 각종 중요한 문서와 정보를 교환하게 되면서 인터넷이 지닌 좋은 기능뿐만 아니라 나쁜 기능도 활발해졌습니다. 유닉스 계열의 r-시리즈 명령의 취약점을 장난처럼 사용하고, 여러 버그를 이용해 시스템에 몰래 들어가서 남의 정보를 엿보던 장난은 이제는 추억 속 금지된 불법 행위가 되었습니다. 현재는 반정부 활동의 일환으로 정부 사이트를 해킹하고 정부가 주도해 특정 기업이나 국가 정보를 캐내는 활동이 많아지고 있습니다.
최근 한국의 대형 포털과 은행 사이트 등이 해킹당해 개인 정보와 금융 정보가 파괴 및 유출되면서 보안이 시급하고 중요한 문제로 다시 부각되고 있습니다. 그런데 해킹할 때 사회공학적 기법을 사용하기도 하지만, 시스템이나 애플리케이션의 보안 취약점이 큰 약점이 되기도 합니다. 공격받는 취약점의 2/3 가량은 소프트웨어를 구현할 때 생기는 오류에 기인하는 버그에서 나온다고 분석한 보고서도 있습니다. 그리고 시스템의 취약점을 악용하는 해커의 능력도 상당히 발전했습니다. 2001년도에 한국을 강타했던 CodeRed 웜의 경우 취약점이 발견된지 약 1년 반만에 이 취약점을 공격하는 코드가 나왔습니다. 그러나 7~8년 전부터 제로데이 어택 Zero-Day Attack 이라는 말이 유행할 정도로, 이제 해커는 소프트웨어 취약점을 발견하는 즉시 이 취약점을 악용하는 코드를 만들 수 있게 되었습니다. 그러므로 소프트웨어를 개발할 때 아예 취약점과 버그 없이 개발하는 것이 중요해졌습니다.
이 책은 자바로 구현한 애플리케이션을 보안에 취약하지 않게 만드는 좋은 프로그래밍 규칙과 습관을 입력 검증, 수치 연산, 객체 관리, 스레드와 락 사용 등 여러 분야별로 체계적으로 분류하여 설명하고 있습니다. 한국의 개발 환경을 보면 소프트웨어를 개발하고 릴리스하기 전에 전문가 그룹이 소스를 면밀히 검토하고 코드 안전성을 검증하는 과정을 거치기 어렵습니다. 이 책에서는 CERT가 C와 C++ 언어로 안전하게 코딩하는 규칙을 정하고, 소스 코드 보안 검증 서비스를 운용해온 경험을 자바 언어에 적용해 지금까지 자바 프로그래머가 범해왔고 범할 수 있는 오류를 짚어내어 안전하게 코딩하는 규칙을 예제와 함께 설명합니다. 이 책 서문에서도 밝히고 있듯이 이 책이 기업이나 기관에 적용할 안전한 자바 코딩 표준의 좋은 안내서로 활용되길 바랍니다.

---옮긴이 서문 중에서

출판사 리뷰 출판사 리뷰 보이기/감추기

일반적인 코딩 패턴에서 나타나는 보안 취약점을 사전에 제거하는 방어적 프로그래밍 컴퓨터 비상 대응팀(CERT)은 다양한 소프트웨어에서 취약점을 유발하는 안전하지 못한 코딩 습관이 반복되는 것을 보았다. 이 책에서 제시하는 지침을 적용하면 취약점을 유발하는, 안전하지 못한 코딩 습관을 제거해 공격에 더 잘 견디는 튼튼한 고품질 시스템을 만들 수 있다. 이 책에서 제시하는 17개 장을 통해 자바의 핵심 영역별로 구체적인 규칙을 자세하게 설명한다. 각 영역에서 부적합 예제와 문제를 올바르게 해결한 적합 예제를 보여준다. 각 규칙은 부적합 코드가 일으키는 심각성, 악용할 수 있는 취약점을 발생시킬 수 있는 가능성을 설명한다. 코딩 표준에서는 자바 프로그래밍 언어와 라이브러리를 포함한 자바 SE 6 플랫폼에 대한 안전한 코딩 규칙을 정의하고, 자바 SE 7 플랫폼에 새로 추가된 기능에 대해서도 설명한다. javax 패키지가 제공하는 표준 확장 API와 관련된 보안 문제, lang, util, 컬렉션, 동시성 유틸리티, 로그, 리플렉션, 정규 표현식, 압축, 파일 입출력, JMX, JNI, 직렬화, JAXP 라이브러리 등에 적용할 수 있는 보안 문제까지 포괄적으로 설명한다. 행정안전부, SW 개발단계부터 보안취약점 제거(시큐어 코딩) 의무화 2012년 12월부터 행정기관 등에서 추진하는 개발비 40억 원 이상의 정보화 사업에 소프트웨어 개발보안 적용을 의무화하고 단계적으로 의무 대상을 확대하여 2015년에는 감리대상 전 정보화사업에 소프트웨어 개발보안을 적용한다. 보안 코딩은 일반적인 코딩 패턴에서 나타나는 취약점을 사전에 예방하는 습관일 뿐 아니라 현업에서의 요구사항이 되고 있다. “자바 세계에서는 보안을 부가 기능으로 생각하지 않습니다. 언제나 보안을 고려해야 합니다. 보안을 염두에 두지 않는 개발자가 결국 문제를 일으킵니다. 그러나 보안 기능이 준비되어 있다고 해서 소프트웨어가 저절로 안전해지는 것은 아닙니다. 『버그 없는 안전한 소프트웨어를 위한 CERT 자바 프로그래밍』은 수년간 발전해온 표준적인 관습을 요약한 해설서입니다. 그렇다고 해서 이론적인 연구 논문이나 제품 안내 자료도 아닙니다. 이 책은 중요한, 개발에 필수적인, 실전에서 검증된, 기업 규모의 프로젝트에 적용할 수 있습니다.” - 제임스 고슬링(James A. Gosling), 자바 프로그래밍 언어의 아버지

회원리뷰 (6건) 회원리뷰 이동

리뷰 쓰기

혜택 및 유의사항?

총 평점 8.6점 8.6 / 10.0

검색결과 정렬 옵션 삭제

회원리뷰 전체보기

한줄평 (0건) 한줄평 이동

한줄평 쓰기

혜택 및 유의사항?

등록된 한줄평이 없습니다!

첫번째 한줄평을 남겨주세요.

배송/반품/교환 안내

배송 안내

반품/교환 안내에 대한 내용입니다.
배송 구분	예스24 배송 배송비 : 무료배송
포장 안내	안전하고 정확한 포장을 위해 CCTV를 설치하여 운영하고 있습니다. 고객님께 배송되는 모든 상품을 CCTV로 녹화하고 있으며, 철저한 모니터링을 통해 작업 과정에 문제가 없도록 최선을 다 하겠습니다. 목적 : 안전한 포장 관리 촬영범위 : 박스 포장 작업

반품/교환 안내

상품 설명에 반품/교환과 관련한 안내가 있는경우 아래 내용보다 우선합니다. (업체 사정에 따라 달라질 수 있습니다)

반품/교환 안내에 대한 내용입니다.
반품/교환 방법	고객만족센터(1544-3800), 중고샵(1566-4295) 판매자 배송 상품은 판매자와 반품/교환이 협의된 상품에 한해 가능합니다.
반품/교환 가능기간	출고 완료 후 10일 이내의 주문 상품 디지털 콘텐츠인 eBook의 경우 구매 후 7일 이내의 상품 중고상품의 경우 출고 완료일로부터 6일 이내의 상품 (구매확정 전 상태) 모바일 쿠폰의 경우 유효기간(발행 후 1년) 내 등록하지 않은 상품
반품/교환 비용	고객의 단순변심 및 착오구매일 경우 상품 반송비용은 고객 부담임 직수입양서/직수입일서중 일부는 변심 또는 착오로 취소시 해외주문취소수수료 20%를 부과할수 있음 단, 아래의 주문/취소 조건인 경우, 취소 수수료 면제 오늘 00시 ~ 06시 30분 주문을 오늘 오전 06시 30분 이전에 취소 오늘 06시 30분 이후 주문을 익일 오전 06시 30분 이전에 취소 직수입 음반/영상물/기프트 중 일부는 변심 또는 착오로 취소 시 해외주문취소수수료 30%를 부과할 수 있음 단, 당일 00시~13시 사이의 주문은 취소 수수료 면제 박스 포장은 택배 배송이 가능한 규격과 무게를 준수하며, 고객의 단순변심 및 착오구매일 경우 상품의 반송비용은 박스 당 부과됩니다.
반품/교환 불가사유	소비자의 책임 있는 사유로 상품 등이 손실 또는 훼손된 경우 소비자의 사용, 포장 개봉에 의해 상품 등의 가치가 현저히 감소한 경우 : 예) 화장품, 식품, 가전제품, 전자책 단말기 등 복제가 가능한 상품 등의 포장을 훼손한 경우 : 예) CD/LP, DVD/Blu-ray, 소프트웨어, 만화책, 잡지, 영상 화보집 소비자의 요청에 따라 개별적으로 주문 제작되는 상품의 경우 디지털 컨텐츠인 eBook, 오디오북 등을 1회 이상 다운로드를 받았을 경우 eBook 대여 상품은 대여 기간이 종료 되거나, 2회 이상 대여 했을 경우 취소 불가 모바일 쿠폰 등록 후 취소/환불 불가 중고상품이 구매확정(자동 구매확정은 출고완료일로부터 7일)된 경우 LP상품의 재생 불량 원인이 기기의 사양 및 문제인 경우 (All-in-One 일체형 일부 보급형 오디오 모델 사용 등) 시간의 경과에 의해 재판매가 곤란한 정도로 가치가 현저히 감소한 경우 전자상거래 등에서의 소비자보호에 관한 법률이 정하는 소비자 청약철회 제한 내용에 해당되는 경우
소비자 피해보상	상품의 불량에 의한 반품, 교환, A/S, 환불, 품질보증 및 피해보상 등에 관한 사항은 소비자분쟁해결기준(공정거래위원회 고시)에 준하여 처리됨
환불 지연에 따른 배상	대금 환불 및 환불 지연에 따른 배상금 지급 조건, 절차 등은 전자상거래 등에서의 소비자 보호에 관한 법률에 따라 처리