参考资料

l         您可以参阅本文在 developerWorks 全球站点上的 英文原文.

l         阅读 David 的 安全编程专栏中的 各期文章。“ 开发安全的程序”一文介绍了术语和其他基础，“ 验证输入”一文论述了对各种数据类型的验证。

l         David 的 Secure Programming for Linux and Unix HOWTO （Wheeler，2003 年 3 月）一书给出了有关如何开发安全的软件的详细描述。第 7 章详细论述了 setuid 和限制特权。

l         Jochen Hein 的“ SAP R/3 Web Application Server Demo for Linux: root exploit”（Bugtraq，2001 年 4 月）一文讨论了 SAP 漏洞。这个漏洞是 Bugtraq id 2662 和 CVE vulnerability CVE-2001-0366。作为 workaround 运行 chmod u-s 来禁止它。

l         “ VIM statusline Text-Embedded Command Execution Vulnerability” （Bugtraq, 2001 年 3 月），Bugtraq id 2510，讨论了 vim 漏洞。这个漏洞是 CVE vulnerability CVE-2001-0408，最初发现是 Red Hat RHSA-2001:008-04。您可以关闭 .vimrc 中的 statusline 或者 stl 选项来禁止它。

l         “ Multiple Vendor Web Shopping Cart Hidden Form Field Vulnerability”（Bugtraq，2000 年 2 月），Bugtraq id 1237，论述了为什么盲目接受来自用户的产品价格值是不明智的，而大量的 Web 应用程序中都存在这个错误。

l         来自 Beyond-Security's SecuriTeam.com 的“ Well Known Flaw in Web Cart Software Remains Wide Open”指出了，不仅一些购物车没有检查产品价格，还有一些检查了产品价格却没有检查运费（这样，负数的运费会带来不正确的折扣）。

l         David 的“ Program Library HOWTO”（Wheeler, 2003 年 4 月）一文论述了在 GNU/Linux 中如何处理库（包括共享库）。

l         Owen Taylor 的“ Why GTK_MODULES is not a security hole”（GTK.org, 2000 年 1 月）解释了为什么“使用 GTK+ 编写 stuid 和 setgid 程序是不明智的，而且永远不会得到 GTK+ 团队的支持”，并指出当前版本的 GTK+ 根本不会运行 setuid。

l         Adam Shostack 公布了 setuid(7) 手册页的一个拷贝。

l         Princeton 的 Computer Science 部门公布了 environ(5) 手册页的一个拷贝。

l         在 Simson Garfinkel，Gene Spafford 和 Alan Schwartz 的经典之作 Practical Unix & Internet Security, 3rd Edition（O'Reilly & Associates, 2003 年）一书中有一些非常好的论述。 第 11 章 论述了 IFS 环境变量。

l         Cameron Laird 在 developerWorks 的“ 服务器诊所：实用 Linux 安全性”一文中论述了服务器安全。

l         在 developerWorks的“ 软件安全性原则”系列文章中，Gary McGraw 和 John Viega 给出了在构建安全的系统时需要紧记的 10 个要点。在“ 构建安全软件：选择技术”文章中，Gary 和 John 探究了设计者和程序员面临的常见选择。

l         在 IBM developerWorks Linux 专区阅读更多 Linux 文章。

l         IBM Research Security group有许多安全相关的项目，包括 Internet 安全、Java 安全、密码学以及数据隐藏。

l         IBM 白皮书“ Secure Internet Applications on the AS/400 system”主要论述了 Secure Sockets Layer (SSL) 协议。

l         AS/400 Security pages on Internet Security是深入学习网络安全的一个好的出发点。

关于作者

David A. Wheeler 是计算机安全性方面的专家，他长期致力于改进针对大型和高风险的软件系统的开发技术。他编写了“Secure Programming for Linux and Unix HOWTO”一书，并是通用标准的验证者。David 还编写了“ Why Open Source Software/Free Software? Look at the Numbers!”一文以及由 Springer-Verlag 出版的书籍 Ada95: The Lovelace Tutorial，并是由 IEEE 出版的书籍 Software Inspection: An Industry Best Practice的合著者和第一编撰人。本篇 developerWorks文章代表了作者的观点，不一定代表 Institute for Defense Analyses 的立场。您可以通过 dwheelerNOSPAM@dwheeler.com与 David 联系。