常见的弱点枚举

马诺保罗。“官方(ISC) 2 CSSLP指南”。CRC出版社。2011年。<http: //books.google.com/书吗?id = 8 gqujg-fouec&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

比尔迪金森和Vijayakumar Kabbin。嵌入式软件安全“五步骤”。嵌入式计算设计。2015年6月。<http: //embedded-computing.com/文章/5-steps-secure-embedded-software />。

安德烈亚斯ib。“回溯象征性执行引擎声音路径合并”。第八届国际会议上新兴的安全信息系统和技术- SECURWARE 2014。2014 - 11。<https: //www.thinkmind.org/index . php ?视图=文章正如= securware_2014_8_30_30053>。

托拜厄斯。“虫子猎人日记”。没有淀粉出版社。2011年。<http: //books.google.com/书吗?id = hl-zvFPQAfcC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

Igor Kotenko和安德烈Chechulin。“网络攻击建模和影响评估框架”。5网络冲突IEEE国际会议。2013 - 06。<http: //ieeexplore.ieee.org/爆炸/abs_all.jsp吗?arnumber = 6568374>。

Yeoneo Kim Jiwon歌和Gyun吸引。“韩国的设计编程语言确保运行时安全通过分类C安全编码规则”。问题4。韩国信息研究所的科学家和工程师》杂志上。卷42。2015年。<http: //dx.doi.org/10.5626 /JOK.2015.42.4.487>。

答:ib和梅。“定点算法自动无限循环的静态检测”。IEEE国际研讨会高保证系统工程。2015 - 01。<https: //www.sec.in.tum.de资产/上传/ibing15infloops.pdf>。

埃里克·布什。“一个黄金标准评估静态分析器”的报道。2013年IEEE国际技术会议上国土安全,2013 - 11。<http: //ieeexplore.ieee.org/爆炸/abs_all.jsp吗?arnumber = 6699091>。

穆罕默德纳迪姆,爱德华·b·艾伦和拜伦·j·威廉姆斯。“推荐的方法计算机安全软件开发人员的培训:利用静态分析技术和漏洞库”的力量。2015年12日——新一代信息技术国际会议(ITNG)。2015 - 05。<http: //dx.doi.org/10.1109 /ITNG.2015.90>。

基督教施密特和彼得Liggesmeyer。“结构化和重用的模型安全需求来源和安全要求”。21国际会议需求工程,2015 - 03。<http: //ceur-ws.org/- 1342 /卷04-CRE.pdf>。

林黄肩贞丰腴,弗兰克Yeong-Sung林和Yeali美国太阳。“一个新颖的方法来评估软件漏洞优先级”。问题11。《华尔街日报》的系统和软件。Vol.86。信息管理部门,国立台湾大学。2013。<http: //dx.doi.org/10.1016 /j.jss.2013.06.040>。

马赫默罕默德·贾迈勒,Bahaa哈桑博士和阿卜杜勒法塔赫Hegazy。“安全分析框架由一个专家系统”。书:2011卷4,问题6。国际计算机科学杂志和安全(IJCSS)。计算机科学期刊。2011-08-02。<http: //citeseerx.ist.psu.edu/viewdoc /下载?doi = 10.1.1.227.7340&代表= rep1类型= pdf>。

Da-Woon Leem Hyun-Ju荣格,Moon-Sung黄,Jung-Ah垫片和Hyun-Jung Kwon。“一个单一的过程设计开发自动化工具检查Android应用程序的漏洞”。先进的科学和技术字母(2015年销售税)。卷》120。2015年。<http: //dx.doi.org/10.14257 /astl.2015.120.59>。

Yunsik儿子Yangsun李和西曼哦。“安全软件的软件缺陷分析技术”。先进的科学和技术的信件。Vol.93(安全性、可靠性和安全2015)。2015年。<http: //onlinepresent.org/程序/vol93_2015 /2. pdf>。

孙Hyo-jung, Baek-min Min-gyu Lee Seong Jong-Bae金。“研究保障通用标准的软件开发生命周期(CC)认证”。10号。国际软件工程及其应用》杂志上。卷。9。2015年。<http: //dx.doi.org/10.14257 /ijseia.2015.9。10.13>。

Dewanne玛丽菲利普。“系统工程和采集方法空间系统软件弹性”。第32太空研讨会。2016 - 04。<http://www.spacesymposium.org/sites/default/files/downloads/Phillips, % 20Dewanne % 20- % 20表示层产生% 20系统% 20工程% 20和% 20收购% 20方法% 20% 20空间% 20系统% 20软件% 20Resiliency.pdf>。

列昂尼德•Glanz塞巴斯蒂安·施密特,塞巴斯蒂安Wollny和本·赫尔曼。“一个漏洞的一生:加强CVE版本信息数据库”。学报》第15届国际会议上知识技术和数据驱动的业务我知道的15。第28条2015年。<http: //dl.acm.org/citation.cfm吗?id = 2809612>。

马里亚姆阿贝迪,Navid Nikmehr Mohsen Doroodchi。“实现网络安全通过增加Web应用程序安全”。2014年国际安全与管理会议(SAM)。2014 - 07。<http: //worldcomp-proceedings.com/proc /p2014 /SAM9772.pdf>。

昆汀·杰罗姆,塞缪尔Marchal拉州和托马斯·恩格尔。PDF威胁”的“先进的检测工具。学报第六届国际研讨会于2013年自主和自发的安全。。2013 - 09年。<http: //orbilu.uni.lu /处理/10993 /13062年>。

c . Banerjee Arpita Banerjee和p·d·Murarka。“发展误用例建模的算法框架iMACOQR指标”。2015年第五届国际会议上先进的计算和通信技术(ACCT)。2014 - 04。<http: //www.ijettcs.org/Volume3Issue2 /ijettcs - 2014 - 04 - 25 - 126. - pdf>。

默罕默德泽Geramiparvar和纳赛尔Modiri。“一个抵消常见的网络攻击方式根据基于指标的模型”。国际计算机科学杂志和网络安全(IJCSNS)。2015 - 02。<http: //citeseerx.ist.psu.edu/viewdoc /下载;jsessionid = 12127 cb3a99507f7a6897b91ca5b3e10 ?)doi = 10.1.1.696.9754&代表= rep1类型= pdf>。

Jedidiah Crandall Daniela奥利维拉,哈利Kalodner,尼科尔·莫林梅金耶稣纳瓦罗和Felix埃米利亚诺·马赫。“信息的基于流程的方法分类的本质理解软件漏洞”。联合会信息和通信技术的进步。471卷。ICT系统安全和隐私保护,2016 - 05。<http: //www.daniela.ece.ufl.edu/Research_files /sec16.pdf>。

Sugandh沙和b . m . Mehtre。“脆弱性评估和渗透测试技术的概述”。问题1。计算机病毒和黑客技术杂志》上。卷11。2014 - 11。<http: //rd.springer.com//条10.1007 /s11416 - 014 - 0231 - x>。

芭芭拉·e·Endicott-Popovsky和Viatcheslav m . Popovsky。“应用程序教学的基础网络安全专家”的整体发展。ACM进展卷5期1。57 - 68页。ACM纽约,纽约,美国。2014 - 03。<http: //dl.acm.org/citation.cfm吗?id = 2568214>。

Jungwoo Ryoo,里克Kazman和Priya阿南德。“安全”的架构分析。No.06问题。IEEE 2015安全与隐私。Vol.13。XXX。2015 - 11。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 7349074>。

Jungwoo Ryoo, Priya阿南德和里克Kazman。“安全(空军联队)体系结构分析”。SEI。2015年。<http: //resources.sei.cmu.edu/asset_files /展示/2015年_017_101_437695.pdf>。

Eric元,山姆,布拉德利Schmerl,大卫Garlan和杰夫Gennari。“架构的自我保护的软件系统中”。第九学报》国际ACM Sigsoft会议在2013年软件架构的质量。。<http: //acme.able.cs.cmu.edu/酒吧/上传/pdf /arch-based-self-protection-qosa-v1.0Yuan_2013_ABSS.pdf>。

杰夫·威廉姆斯和Arshan Dabirsiaghi。“不安全的不幸现实图书馆”。无意的漏洞在图书馆。安全方面,公司. .2012 - 03。<https: //www.aspectsecurity.com/上传/下载/2012 /03 /Aspect-Security-The-Unfortunate-Reality-of-Insecure-Libraries.pdf>。

Dubey Alpana和Dhivya Muthukrishnan。“ASVC:一个自动安全漏洞分类框架基于漏洞的小说特征数据”。2号。通讯》杂志上。卷。10。2015 - 02。<http: //www.jocm.us还是2015 /0309 /20150309111444407. pdf>。

道,余庆张,吴Qianru杨和帮派。“ASVC:一个自动安全漏洞分类框架基于漏洞的小说特征数据”。2号。通讯》杂志上。卷。10。2015 - 02。<http: //www.jocm.us还是2015 /0309 /20150309111444407. pdf>。

皮,登比桶Roel j . Wieringa和巴沙尔Nuseibeh。“通过基于风险的安全需求论证的自动化分析”。系统和软件杂志》上。106卷。2015 - 08年。<http: //dx.doi.org/10.1016 /j.jss.2015.04.065>。

玛丽安Gawron,冯Cheng和Christoph Meinel。“先进的安全漏洞分析的自动检测”。2015年17亚太网络运营和管理研讨会(APNOMS)。2015 - 08年。<http: //dx.doi.org/10.1109 /APNOMS.2015.7275369>。

玛丽安Gawron一侧Amirkhanyan,冯Cheng和Christoph Meinel。“弱点可视化自动漏洞检测和咨询创造”。第八届国际会议信息和网络安全(罪”15)。2015 - 09年。<http: //dx.doi.org/10.1145 /2799979.2799986>。

马克西姆·弗莱德曼,Guifre Ruiz Elisa海曼和巴顿p·米勒。“自动化软件设计的风险分析模型”。科学世界日报2014年。2014 - 06。<https: //www.hindawi.com/期刊/tswj /2014 /805856 />。

Guifre Ruiz Elisa海曼,爱德华多·巴顿和塞萨尔p·米勒。“自动化威胁建模在软件开发生命周期”。jornada Sarteco, 2012 - 09年。<http: //research.cs.wisc.edu/雾/论文/Guifre-sep2012.pdf>。

沙基尔·阿里和Tedi Heriyanto。“回溯4:保证安全渗透测试”。Packt出版,2011年。<http: //books.google.com/书吗?id = SodvK4NMBgwC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

a . Hazeyama m .齐藤n .吉冈a . Kumagai t . Kobashi h . Washizaki h . Kaiya和大久保。“案例基础安全软件开发使用软件安全知识库”。IEEE第39届会议(COMPSAC)计算机软件和应用程序。卷3。2015 - 07。<http: //dx.doi.org/10.1109 /COMPSAC.2015.86>。

“思科2014年度安全报告”。思科》2014。<https: //www.cisco.com/web /提供/gist_ty2_asset /Cisco_2014_ASR.pdf>。

柯蒂斯。“不安全软件和我的超音速环游世界”。财团的软件质量(方案)。2013-07-26。<http: //it-cisq.org/insecure-software-and-my-supersonic-trip-around-the-world />。

丽莎Brownsword,卡罗尔·c·伍迪克里斯托弗·j·爱尔和安德鲁·p·摩尔。“建模软件保证生态系统的框架:从软件保证景观项目”。卡内基梅隆大学软件工程研究所,2010 - 08年。<http: //www.sei.cmu.edu/报告/10 tr028.pdf>。

卡拉纳亚历山德罗Oltramari,罗莉信心,Robert j .墙壁和帕特里克•麦克丹尼尔。“计算本体网络运营”。军事通信会议-亚2015。2015 - 10。<http: //ieeexplore.ieee.org/爆炸/mostRecentIssue.jsp吗?punumber = 7347040>。

“核心报告电网”。CoreLabs研究。核心安全。<http: //www.coresecurity.com/网格/报告>。

“Coverity覆盖常见弱点枚举(CWE): c#”。Coverity软件测试平台7.5版本和CWE 2.5版。数据表。Coverity公司. .2014年。<http: //www.coverity.com/wp-content /上传/2014 /01 /Coverity-CWE-for-C-Sharp.pdf>。

“Coverity覆盖常见弱点枚举(CWE): C / c++”。Coverity软件测试平台7.5版本和CWE 2.5版。数据表。Coverity公司. .2014年。<http: //www.coverity.com/wp-content /上传/2012 /09年/Coverity-CWE-for-C_CPlusPlus.pdf>。

“Coverity覆盖常见弱点枚举(CWE): Java”。Coverity软件测试平台7.5版本和CWE 2.5版。数据表。Coverity公司. .2014年。<https: //www.coverity.com/wp-content /上传/2013 /03 /Coverity-CWE-for-Java.pdf>。

2014年“Coverity扫描——开源报告”。Coverity扫描——2014年开源报告。Synopsys对此公司. .2014年。<http: //go.coverity.com/rs /157 - lqw - 289 /图像/2014 - coverity report.pdf——扫描>。

国家研究委员会。“关键代码:软件可生产性防御”。华盛顿特区:美国国家科学院出版社。2010年。<http: //www.nap.edu/catalog.php吗?record_id = 12979>。

Jesper Jurcenoks。“OWASP WASC CWE映射关联不同的行业分类”。关键看。2013 - 06。<http: //www.criticalwatch.com/资产/c - owasp wasc - - cwe映射-科技-纸- 0710131. - pdf>。

Philippe-Emmanuel Douziech和比尔柯蒂斯。“Cross-technology的跨层缺陷检测系统:挑战和成就”。第一届国际研讨会论文集在复杂故障和失败在大型软件系统(COUFLESS 15)。2015年。<http: //dl.acm.org/ft_gateway.cfm吗?id = 2819424 &ftid = 1617355 &dwn = 1 &CFID = 787064171 &CFTOKEN = 78525653>。

乔哲伯克。“从赞助商”。从赞助商。相声。9月/ 2015年10月。<http: //www.crosstalkonline.org/存储/issue-archives /2015 /201509 /201509 - jarzombek.pdf>。

兰德尔·布鲁克斯和约翰漂白的。“云应用软件保证概念”。相声。美国空军软件技术支持中心(STSC) Lumin出版,2013 - 09年。<http: //www.crosstalkonline.org/存储/issue-archives /2013 /201309 /201309 - brooks.pdf>。

奥尼尔。“软件保证、诚信、严谨”。相声。美国空军软件技术支持中心(STSC),独立顾问,2014 - 09年。<http: //www.crosstalkonline.org/存储/issue-archives /2014 /201409 /201409 - oneill.pdf>。

沃特豪斯。“从发布者”。相声。美国空军软件技术支持中心(STSC), NIST的。2014年11月/ 12月。<http: //www.crosstalkonline.org/存储/issue-archives /2014 /201409 /201409 - hill.pdf>。

Cheshta王妃和Shivani戈埃尔。“CSAAES:专家系统对网络安全攻击意识”。国际会议上计算、通信和自动化(ICCCA2015)。2015年。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 7148381 &标签= 1>。

Jennifer l . Bayuk杰森·希利,保罗•Rohmeyer马库斯·h·萨克斯(Jeffrey施密特和约瑟夫·韦斯。“网络安全政策指南”。威利》2012。<http: //books.google.com/书吗?id = E08UPzu42xoC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

乔治Kostopoulos。“网络和网络安全”。CRC出版社。2012年。<http: //books.google.com/书吗?id = w6_jwEj9ZicC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

马克Raugus博士詹姆斯•乌尔里希博士罗伯塔的斯科特·芬克尔斯坦和查理·卡伯特。“风险价值”的网络安全模型。国际网络点。2013 - 01。<http: //cyberpointllc.com/openResearch /CyberV@R.pdf>。

丹康奈尔。“OWASP前10名之间的映射(2004、2007),WASC 24 + 2, SANS CWE / 25”。牛仔群组博客。牛仔布组。2010-01-13。<http: //blog.denimgroup.com/denim_group /2010 /01 /映射之间- owasp最高- 10 - 2004 - 2007 - wasc - 242和- san cwe25.html>。

YunSik儿子YangSun李和西曼哦。“编译器的设计和实现安全的编码规则为开发安全移动应用程序在内存中使用”。6卷,4号。国际智能家居杂志,2012 - 10。<http: //www.sersc.org/期刊/IJSH /vol6_no4_2012 /15. pdf>。

YangSun Leea, Junho Jeongb Yunsik儿子。“设计和实现安全的编译器和虚拟机开发安全物联网服务”。未来一代的计算机系统,2016 - 04。<http: //ac.els-cdn.com/S0167739X16300589 /1-s2.0-S0167739X16300589-main.pdf吗?_tid = 711 a1fde - 1 - cfe - 11 - e6 bae0 aab0f27&——00000acdnat = 1463579162 _4e7d24a0ea28e5ad8ba198ff84edd89a>。

Yunsik儿子Junho宋和YangSun李。“设计安全的编译器的物联网服务”。先进的科学和技术的信件。110卷2015 (ISI)。2015年。<http: //dx.doi.org/10.14257 /astl.2015.110.14>。

安迪·周。“开发人员和软件供应链”。18半年度软件保证论坛——3月5日至7日,2013年。Coverity公司. .2011年。<https: //buildsecurityin.us-cert.gov /网站/默认的/文件/Andy-Chou-Developers-and-the-Software-Supply-Chain.pdf>。

每Hakon Meland。“服务注入:威胁到自我管理复杂的系统”。2011年第九IEEE国际会议上可靠,自主和安全计算。DOI 10.1109 / DASC.2011.25。IEEE计算机协会,2011-12-12。<http: //ieeexplore.ieee.org/爆炸/abs_all.jsp吗?arnumber = 6118344>。

艾梅,医学博士和Guasconi F . .“强化脆弱本体对信息风险评估和可靠性管理”。2010年第三次国际会议上可靠性(依赖)。10.1109 / DEPEND.2010.22。CPS会议发布服务。2010-07-18。<http: //ieeexplore.ieee.org/爆炸/abs_all.jsp吗?arnumber = 5562843>。

苏珊娜Schmeelk、威廉·米尔斯和罗伯特·努南。“管理缩短故障切除”。2009年第六次国际会议信息技术:新一代。DOI 10.1109 / ITNG.2009.249。IEEE计算机协会,2009-07-21。<http: //ieeexplore.ieee.org/爆炸/articleDetails.jsp吗?arnumber = 5070618>。

苏珊娜Schmeelk。“对一个统一的故障检测基准”。粘贴的第九届ACM SIGPLAN-SIGSOFT 10诉讼程序分析软件工具和工程研讨会。DOI 10.1145/1806672.1806684。ACM数字图书馆。2010-06-05。<http: //dl.acm.org/ft_gateway.cfm吗?id = 1806684 &ftid = 802806 &dwn = 1 &CFID = 255953881 &CFTOKEN = 27890399>。

苏珊娜Schmeelk、威廉·米尔斯和列夫Hedstrom。“标准化源代码安全审计”。3卷,1号。国际期刊的软件工程与应用程序(IJSEA)。DOI: 10.5121 / ijsea.2012.3101 1。2012 - 01。<http: //www.doaj.org/开放存取?func =全文援助= 955562>。

埃里克•康拉德Seth Misenar和约书亚·费尔德曼。“十一小时CISSP:学习指南”。Syngress》2010。<http: //books.google.com/书吗?id = BNUryGI3YvsC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

迈克尔·格尔和约翰Sametinger。“嵌入式网络设备安全”。新兴的安全信息系统和技术国际会议- SECURWARE 2014。2014 - 11。<https: //www.thinkmind.org/index . php ?视图=文章正如= securware_2014_1_10_30011>。

沃特豪斯。“用人企业架构的应用程序保证”。IEEE IT专业人员。2015年2月。<http: //www.infoq.com/文章/employing-enterprise-architecture-for-applications-assurance吗?utm_campaign = infoq_content&utm_source = infoqutm_medium =饲料utm_term =全球>。

阿卜杜拉•哈利利的Ashkan萨米,马赫迪阿,Sara Moshtari Zahra萨利希,Mahboobe Ghiasi和Ali Akbar影响。“使用安全编码实践为工业应用:一个案例研究”。问题1。软件工程经验。卷21。2016002。<http: //dx.doi.org/10.1007 /s10664 - 014 - 9341 - 9>。

c·沃伦•阿克塞尔罗德。“工程安全软件系统”。Artech房子。2012。<http: //books.google.com/书吗?id = sshk_-cWQKcC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

伯特兰Stivalet Aurelien Delaitre,伊丽莎白方和瓦迪姆奥肯。“评估错误发现者,测试和测量的静态代码分析器”。2015年IEEE / ACM 1日国际研讨会上复杂的缺点和失败在大型软件系统(COUFLESS)。2015 - 05。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 7181477>。

Arnav乔希,Ravendar Lal,蒂姆Finin Anupam乔希。“从文本中提取网络安全相关的关联数据”。2013年IEEE第七语义计算国际会议(ICSC)。2013 - 09年。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 6693525>。

贾斯汀。“从发布者”。相声。软件工程国防杂志。2014年9月/ 10月。<http: //www.crosstalkonline.org/存储/issue-archives /2014 /201409 /201409 - hill.pdf>。

罗伯塔Stempfley。“从赞助商”。2014年3月/ 4月。相声:《防御软件工程。前言。<http: //www.crosstalkonline.org/存储/issue-archives /2014 /201403 /201403 - stempfley.pdf>。

亚当·格林和迈克尔•萨顿Pedram Amini。起毛:强力漏洞发现”。培生教育。2007。<http: //books.google.com/书吗?id = DPAwwn7QDy8C&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

罗纳德•Watro克里莫菲特,塔利班Hussain丹尼尔Wyschogrod,约翰·奥斯特瓦尔德和吊杆。“鬼地图:软件正确性证明使用游戏”。第八届国际会议上新兴的安全信息系统和技术- SECURWARE 2014。2014 - 11。<https: //www.thinkmind.org/index . php ?视图=文章正如= securware_2014_9_40_30144>。

Evgeny Lebanidze和丹尼尔Ramsbrock。“开发网络安全指南和风险缓解计划——更新1”。全国农村电力合作社:智能电网示范项目。全国农村电力合作协会。2014。<https: //groups.cooperative.com/smartgriddemo /公共/网络安全/文件/CyberSecurityGuideforanElectricCooperative-U1.pdf>。

Ugur库特,马克Burstein, j·本顿,丹尼尔•布莱斯约旦泰尔和史蒂夫·麦科伊。“HACKAR:代码知识和有用的建议攻击弹性”。学报二十七会议上的创新应用人工智能》2015。<http: //www.aaai.org/商务/index . php /IAAI /IAAI15 /纸/视图/9726 /9903年>。

迈克示玛。“黑客网络应用:检测和防止Web应用程序的安全问题”。Syngress》2012。<http: //books.google.com/书吗?id = OOqH8NsLeLkC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

莉娜Herscheid,丹尼尔·里希特和安德烈亚斯Polze。“Hovac:一个可配置的故障注入框架为基准”C / c++应用程序的可靠性。x版本出版。XXX。可靠性和安全性(QRS), 2015年IEEE国际会议软件质量,2015 - 08年。<http: //journal-s.org/index . php /ijas //条下载/8529 /pdf_80>。

埃德蒙·o·施韦策三世,大卫•怀特黑德艾伦Risley和瑞德史密斯。“我们怎么知道?”施韦策工程实验室,Inc . 2011。<https: //www.selinc.com/workarea /downloadasset.aspx吗?id = 8510>。

惠普增强分类:软件安全错误。惠普企业安全。<http: //www.hpenterprisesecurity.com/vulncat /en /vulncat /index . html>。

凯伦梅赛德斯Goertzel写到,西奥多·Winograd冬青林恩·麦金利林登哦,迈克尔结肠癌、托马斯·里,伊莱恩Fedchak和罗伯特Vienneau。“先进的报告(高飞)”。软件安全保证。信息保障技术分析中心(IATAC),数据中心和分析软件(dac)。2007-07-31。<http: //iac.dtic.mil /csiac /下载/security.pdf>。

丹尼·艾伦,蒂姆·哈恩Andras Szakal,吉姆·惠特莫尔和阿克塞尔Buecker。“安全发展:IBM安全工程框架”。Redguides商界领袖。2010年IBM公司。<http: //www.redbooks.ibm.com/redpapers /pdf /redp4641.pdf>。

局部激素打呼噜,凯瑟琳·莫里斯,Kiwook荣格,凯文·里昂和瑞梁。对智能制造”“识别性能保证的挑战。制造工程师学会,2015 - 11。<http: //www.sciencedirect.com/科学//条pii /S2213846315000139 /pdfft吗?md5 = 56 d24ab13efdec24eef940cd50e5212d&pid = 1-s2.0-S2213846315000139-main.pdf>。

Stephan Renatus,山腰Bartelheimer和乔恩•为。“改善优先级的软件弱点使用安全模型与安徽义工联盟”。出版。2015年IEEE国际工作会议15日在源代码分析和操纵(诈骗)。2015 - 09年。<http: //ieeexplore.ieee.org/爆炸/abs_all.jsp吗?arnumber = 7335423>。

陈和莫里斯·道森尾戒缠住了。“改善Web应用程序安全性通过消除连续波”。INFSY 6891软件保证。2015 - 12所示。<http: //blogs.umsl.edu/信息安全/文件/2016 /01 /Weijie_Chen_ResearchPaper.pdf>。

基督教施密特和彼得Liggesmeyer。“实例化一个模型构建和重用安全需求来源”。2015年IEEE二车间发展的安全和隐私需求工程(ESPRE)。2015 - 08年。<http: //ieeexplore.ieee.org/爆炸/abs_all.jsp吗?arnumber = 7330164>。

Cigital, Inc .,飞檐工程,Inc .)和电力系统工程。“互操作性和网络安全计划”。全国农村电力合作社:智能电网区域示范。全国农村电力合作协会。2010年5月。<https: //www.smartgrid.gov文件/Interoperability_Cyber_Security_Plan_NRECA_CRN_Smart_Grid_Re_201001.pdf>。

维尔布鲁根Suhasini Sabnis马克•约翰希和艾伦·j·麦克布莱德。“本质安全的下一代网络”。问题3。贝尔实验室技术杂志。卷。17。阿尔卡特-朗讯(alcatel - lucent)。2014年4月。<DOI: 10.1002 /bltj.21556>。

马尔科姆·哈金斯。“风险管理与信息安全:保护使”。然后媒体。2012。<http: //books.google.com/书吗?id = YWdrcDqvjdwC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

Serguei a . Mokhov乔伊Paquet和Mourad Debbabi。“MARFCAT:快速代码分析缺陷和漏洞”。2015年IEEE 1日国际研讨会软件分析(天鹅)。2015 - 03。<http: //dx.doi.org/10.1109 /SWAN.2015.7070488>。

Banerjee Chitreshh Arpita Banerjee和桑托什Pandey。“滥用Case-Oriented质量要求(MCOQR)度量框架”。解决问题和不确定性建模通过优化和软计算应用程序。第9章。2016 - 03。<http: //www.igi-global.com/章/mcoqr-misuse-case-oriented-quality-requirements-metrics-framework /147090年>。

“任务保证企业工程:系统工程”。系统工程指南。网络威胁敏感性评价。manbetx客户端首页主教法冠公司。<http: //www.rongyidianshang.com/出版物/systems-engineering-guide /企业工程/systems-engineering-for-mission-assurance /cyber-threat-susceptibility-assessment‎>。

献Munetoh和吉冈Nobukazu。“Model-Assisted访问控制实现以代码为中心的ruby on rails Web应用程序开发”。2013年国际会议上的可用性、可靠性和安全性,2013 - 09年。<http: //ieeexplore.ieee.org/爆炸/abs_all.jsp吗?arnumber = 6657263>。

丹鞋匠和卡罗尔伍迪。“基于模型的供应链风险管理工程”。相声。卡内基梅隆大学。9月/ 2015年10月。<http: //www.crosstalkonline.org/存储/issue-archives /2015 /201509 /201509 - shoemaker.pdf>。

SDL团队。“微软SDL和CWE / SANS”。安全开发生命周期的博客。微软。2009-01-27。<http: //blogs.msdn.com/b /sdl /归档/2009 /01 /27日/sdl -和- cwe sans - - 25. aspx>。

克里斯Tapp。“网络中心安全和CWE”。军事上的嵌入式系统。利物浦数据研究协会(LDRA)。2012-09-04。<http: //mil-embedded.com/文章/net-centric-security-cwe />。

罗伯特·马丁。“无恶意的污染:糟糕的卫生恶意”一样危险的任务。2014年3月/ 4月。相声:《防御软件工程。<http: //www.crosstalkonline.org/存储/issue-archives /2014 /201403 /201403 - martin.pdf>。

(Katerina Goseva-Popstojanova和安德烈·Perhinschi。“静态代码分析来检测安全漏洞的能力”。x版本信息和软件技术。68卷。2015 - 12所示。<http: //dx.doi.org/10.1016 /j.infsof.2015.08.002>。

名Ansarinia、Seyyed Amir Asghari Afshin Souzani和Ahmadreza Ghaznavi。“基于本体的建模DDoS攻击的攻击检测计划”。2012年第六次国际研讨会上电信(IST)。2011 - 11。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 6483131>。

李副主任,吴(音译,Ruitao冯,Guangquan徐经胡锦涛和庸风。“OOPN-SRAM:软件风险评估的新方法”。工程复杂的计算机系统(ICECCS)。150 - 153页。IEEE。2014 - 08年。<http: //ieeexplore.ieee.org/爆炸/articleDetails.jsp吗?arnumber = 6923130 &标签= 1>。

“v4 OWASP测试指南”。开放的Web应用程序安全项目(OWASP)。2014-09-17。<https: //www.owasp.org/index . php /OWASP_Testing_Guide_v4_Table_of_Contents>。

安德烈亚斯ib。“Eclipse CDTCodan并行SMT-Constrained象征性执行”。联合会国际信息处理联合会CTSS 2013。2013年。<http: //rd.springer.com/内容/pdf /10.1007% 2 f978 - 3 - 642 - 41707 - 8 - _13.pdf>。

安德烈亚斯ib。“Path-Sensitive竞赛与偏序检测减少象征性执行”。软件工程和正式的方法,SEFM 2014。2014 - 09年。<http: //rd.springer.com/内容/pdf /10.1007% 2 f978 - 3 - 319 - 15201 - 1 - _20.pdf>。

迈克尔Edkrantz和艾伦说。“预测网络脆弱性利用机器学习”。十三斯堪的纳维亚人工智能会议:2015年脊髓。2015 - 11。<http: //dx.doi.org/10.3233 /978-1-61499-589-0-48>。

卡罗伍迪,罗伯特·埃里森和威廉·尼科尔斯。“使用质量数据预测网络安全”。2015年IEEE国土安全技术国际研讨会(HST)。2015 - 04。<http: //dx.doi.org/10.1109 /THS.2015.7225327>。

艾哈迈德·萨拉希和名Ansarinia。“使用类型推断预测网络攻击”。计算研究库(CoRR)。2013年。<https: //arxiv.org/ftp /arxiv /论文/1304 /1304.0913.pdf>。

南希·r·米德丹鞋匠和卡罗尔伍迪。“原则和测量模型软件保证”。国际期刊的安全软件工程(IJSSE)。2013 - 01。<http: //resources.sei.cmu.edu/图书馆/asset-view.cfm吗?assetid = 298843>。

肖恩·吉尔摩,Reeny Sondhi和斯泰西·辛普森。“软件保证评估原则”。SAFECode。2015年。<http: //www.safecode.org/出版/SAFECode_Principles_for_Software_Assurance_Assessment.pdf>。

Hayawardh Vijayakumar,约书亚Schiffman和特伦特贼鸥。“过程防火墙:保护过程中资源访问”。学报》第八届ACM欧洲计算机系统。2013 - 04。<http: //dl.acm.org/citation.cfm吗?id = 2465358>。

Joonseon安,Byeong-Mo Chang和Eunyoung李。“量化评分系统软件漏洞”的重要性。问题4。《韩国研究所的信息安全与密码学。第25卷。2015年。<http: //www.koreascience.or.kr搜索/articlepdf_ocean.jsp ? url = http: //ocean.kisti.re.kr /downfile /体积/kiisc /JBBHCB /2015 /v25n4 /JBBHCB_2015_v25n4_921.pdf&admNo = JBBHCB_2015_v25n4_921>。

拉蒙德C山谷。“CWE覆盖红帽客户门户”。安全的博客。红帽公司. .2013-06-19。<http: //securityblog.redhat.com/2013 /05年/22 /outside-in-vulnerability-assessment-for-secure-software-development />。

Marc Schonefeld。“分布式Java组件安全反模式的重构”。班贝克大学出版社。2010年。<http: //books.google.com/书吗?id = cUWFz3oZLyAC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

高桥、t和Kadobayashi Y . .“网络安全操作信息参考本体论”。电脑杂志。2014年10月。<http: //comjnl.oxfordjournals.org/内容/早期/2014 /10 /07年/comjnl.bxu101.full.pdf>。

赵Xianghui彭勇,翟赞金易建联和姚明云冈。“平行研究漏洞发现基于开源数据库和文本挖掘”。2015年国际会议上智能信息隐藏和多媒体信号处理,2015 - 09年。<http: //dx.doi.org/10.1109 /IIH-MSP.2015.84>。

约翰内斯Viehmann和弗兰克维尔纳。“大型网络系统的风险评估和安全测试RACOMAT”。施普林格瑞士国际出版。2015年。<http: //rd.springer.com/内容/pdf /10.1007% 2 f978 - 3 - 319 - 26416 - 5 - _1.pdf>。

Open Group,伊恩•多布森和吉姆Hietala。“风险管理:开放组织指南”。范·哈伦的出版,2011 - 05。<http: //books.google.com/书吗?id = p4f8jUT2wgUC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

克里斯·英格。“避免CWE / SANS最危险的软件错误”。欧洲2010 RSA会议。和- 105。EMC公司。2010。<http://365.rsaconference.com/servlet/jiveservlet/previewbody/2696 - 102 - 1 - 3442/and - 105% - 20- % 20避免% 20% 20CWE-SANS % 20顶级% 2025%的20大多数% 20危险的% 20编程% 20Errors.pdf>。

莫妮卡凯瑟琳和Geogen乔治。“S-compiler:代码漏洞检测方法”。2015年国际会议上电、电子、信号、通讯和优化(EESCO)。2015 - 01。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 7254018>。

孙Hyo-jung, Baek-min Min-gyu Lee Seong Jong-bae金。“安全软件开发生命周期的补充安全弱点CC认证”。10号。国际软件工程及其应用》杂志上。卷。9。2016 - 01。<http: //www.sersc.org/期刊/IJSEIA /vol9_no10_2015 /13. pdf>。

彼得热水瓶,Ari Takanen。“确保VoIP网络”。培生教育。2007。<http: //books.google.com/书吗?id = 5 f76e72oir0c&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

帕诺斯Kampanakis。“安全自动化和信息共享选项”的威胁。数量:12,问题:5。安全与隐私、IEEE。42 - 51页。IEEE计算机协会,2014 - septemnber / 10月。<http: //ieeexplore.ieee.org/爆炸/articleDetails.jsp吗?arnumber = 6924671 &标签= 1>。

迈克尔•s•柯蒂斯Audian h·帕克森,伊娃·e·地堡,纳尔逊·w·地堡和凯文·m·米切尔。“安全对策管理平台”。美国专利申请20140344940。阿基里斯,Inc . D.B.A.关键看。2014-11-20。<http: //www.freepatentsonline.com/y2014 /html 0344940.>。

洛伦佐·马蒂诺,Elisa Bertino Federica奶嘴和安娜Squicciarini。Web服务和面向服务的体系架构的“安全”。施普林格》2009。<http: //books.google.com/书吗?id = RYBKAAAAQBAJ&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

斯图亚特·雅各布斯。“下一代电信网络安全管理和服务”。IEEE出版社系列网络和服务管理。威利》2013。<http: //books.google.com/书吗?id = AfpeAQAAQBAJ&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

马修·l·黑尔道尔顿埃利斯,玫瑰赌博,查尔斯·沃尔特和杰西卡·林。“SecuWear:一个开放源码的、多组分的硬件/软件平台,探索可穿戴安全”。2015年IEEE国际会议上移动服务,2015 - 07。<http: //ieeexplore.ieee.org/爆炸/abs_all.jsp吗?arnumber = 7226677>。

Andreas Ekelhart Bernhard烤架,马·基斯林,克里斯汀·施特劳斯和基督教的葡萄汁。选择安全控制组合:多目标仿真优化方法”。欧元在决策过程》杂志上。斯普林格出版社。2016 - 04。<http: //rd.springer.com//条10.1007% 2 fs40070 - 016 - 0055 - 7>。

“最初的架构和需求规范”。1节。fp7 - ict - 2007 215995之下。D1.1。盾牌。2008-05-31。<http://www.shields-project.eu/files/docs/D1.1%20初始% 20架构% 20和% 20要求% 20specification.pdf>。

“修订后的架构和需求规范”。2.0。fp7 - ict - 2007 215995之下。D1.3。盾牌。2009-03-30。<http://www.shields-project.eu/files/docs/D1.3%20修改% 20架构% 20和% 20要求% 20Specification.pdf>。

“最终盾牌方法指南”。2.3。fp7 - ict - 2007 215995之下。D1.4。盾牌。2010-09-28。<http://www.shields-project.eu/files/docs/D1.4%20最后% 20盾牌% 20方法% 20Guide.pdf>。

“形式主义的定义和表示形式图式”。版本。fp7 - ict - 2007 215995之下。D2.1。盾牌。2008-06-25。<http://www.shields-project.eu/files/docs/D2.1%20形式主义% 20定义% 20和% 20表示% 20Schemata.pdf>。

“最初的建模方法和建模工具原型”。2.0。fp7 - ict - 2007 215995之下。D2.2。盾牌。2008-09-30。<http://www.shields-project.eu/files/docs/D2.2%20初始% 20造型% 20方法% 20和% 20原型% 20造型% 20Tools.pdf>。

“最终造型方法、形式和原型建模工具”。2.1。fp7 - ict - 2007 215995之下。D2.3。盾牌。2010-09-28。<http://www.shields-project.eu/files/docs/D2.3%20最后% 20造型% 20方法,% 20形式% 20和% 20原型% 20造型% 20tools.pdf>。

“初步规范的安全方法和工具”。2.1。fp7 - ict - 2007 215995之下。D4.1。盾牌。2008-07-01。<http://www.shields-project.eu/files/docs/D4.1%20初始% 20规范% 20% 20% 20安全% 20方法% 20和% 20tools.pdf>。

“初始原型脆弱性识别工具”。2.0。fp7 - ict - 2007 215995之下。D4.2。盾牌。2009-05-25。<http://www.shields-project.eu/files/docs/D4.2%20初始% 20原型% 20% 20脆弱性% 20识别% 20Tools.pdf>。

“最终检验报告方法和原型脆弱性识别工具”。2.0。fp7 - ict - 2007 215995之下。D4.3。盾牌。2010-04-22。<http://www.shields-project.eu/files/docs/D4.3%20最后% 20报告% 20在% 20检查% 20方法% 20和% 20原型% 20脆弱性% 20识别% 20tools.pdf>。

“结果第一次评价的技术工作包”。2.0。fp7 - ict - 2007 215995之下。D5.1。盾牌。2008-10-31。<http://www.shields-project.eu/files/docs/D5.1%20结果% 20% 20第% 20评价% 20% 20% 20技术% 20工作% 20Packages.pdf>。

“最终评估报告”。2.0。fp7 - ict - 2007 215995之下。D5.3。盾牌。2010-06-22。<http://www.shields-project.eu/files/docs/D5.3%20最后% 20评价% 20Report.pdf>。

“最初的盾牌方法指南”。1.0版。fp7 - ict - 2007 215995之下。D1.2。盾牌。2008-09-30。<http://www.shields-project.eu/files/docs/D1.2%20初始% 20盾牌% 20方法% 20guide.pdf>。

“库服务原型”。2.0。fp7 - ict - 2007 215995之下。D3.2。盾牌。2009-12-04。<http://www.shields-project.eu/files/docs/D3.2%20库% 20服务% 20prototype.pdf>。

奥尼尔。“软件保证、诚信、严谨”。收购Software-Reliant功能。相声。9月/ 2014年10月。<http: //static1.1.sqspcdn.com/静态/f /702523 /25389270 /1409614172627 /201409 - oneill.pdf>。

唐纳德j·赖夫。“软件变更管理:案例研究和实用的建议”。微软出版社。2011年。<http: //books.google.com/书吗?id = _qHskeb87gEC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

保罗·d·尼尔森。“软件工程和软件质量的持久追求”。软件工程是什么?。相声。卡内基梅隆大学,2014。<http: //static1.1.sqspcdn.com/静态/f /702523 /26194068 /1430694655517 /201505 - nielsen.pdf>。

阿卜杜拉•哈利利的Ashkan萨米,Mahboobe Ghiasi, Sara Moshtari Zahra萨利希和马赫迪阿。“软件工程问题确保ICS:工业案例研究”。ICSE现代软件工程方法研讨会工业自动化(MoSEMInA 14)。2014 - 05。<http: //dl.acm.org/ft_gateway.cfm吗?id = 2593789 &ftid = 1468132 &dwn = 1 &CFID = 787064171 &CFTOKEN = 78525653>。

南希·r·米德朱莉娅·h·艾伦,肖恩·j·巴纳姆罗伯特·j·埃里森和加里·麦克格劳博士。“软件安全工程:项目经理的指导”。卡内基梅隆大学SEI系列。培生教育。2004。<http: //books.google.com/书吗?id = hl-zvFPQAfcC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

贾斯汀·克拉克。“SQL注入攻击和防御”。Syngress》2012。<http: //books.google.com/书吗?id = KKqiht2IsrcC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

大卫·a·惠勒和罗摩Moorthy。“最先进的资源(高飞)软件漏洞检测、测试、和评价”。艾达纸p - 5061。国防技术信息中心——科技(DTIC)。国防分析研究所(IDA)。2014年7月。<http: //www.dtic.mildtic /tr /全文/u2 /a607954.pdf>。

加布里埃尔·迪亚兹和Juan Ramon贝尔梅霍。“静态分析源代码安全:评估工具对SAMATE测试”。信息与软件技术》2013。<http: //www.sciencedirect.com/科学//条pii /S0950584913000384>。

Paul r . Croll。“静态代码分析:最佳实践的软件保证收购生命周期”。12日NDIA系统工程年会。2009-10-29。<http: //www.dtic.milndia /2009 systemengr /9104年thursdaytrack8croll.pdf>。

Paul r . Croll。“程序保护策略——识别风险和环境要求”。第15届NDIA系统工程会议。2012-10-24。<http: //www.dtic.milndia /2012系统/track514763.pdf>。

Takamichi Saitoi, Hiroyuki宫崎骏,Takaaki巴巴,有利于住田和Yosuke Hori。“研究扩散的保护/缓解对内存泄露攻击在Linux发行版”。2015年9日创新移动和互联网服务在国际会议上无处不在的计算(imi)。2015 - 07。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 7285008>。

尼古拉Mansourov和Djenana Campara。“系统保证:除了检测漏洞”。摩根Kaufmann出版社。2010。<http: //books.google.com/书吗?id = 9 f8oiipdqiic&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

Igor Kotenko和艾琳娜Doynikova。“CAPEC生成器的攻击场景为基础的网络安全评估”。IEEE 2015第八届国际会议上智能数据采集和先进的计算系统:技术和应用程序(IDAACS)。2015 - 09年。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?arnumber = 7340774>。

特恩布尔肯特奥沙利文和便雅悯。“网络仿真的地形:向一个开源的网络效应模拟本体”。第16届澳大利亚信息战研讨会论文集,2015 - 12。<http: //ro.ecu.edu.au /cgi /viewcontent.cgi吗?条= 1059 &上下文= isw>。

马丁·c·Libicki莉莲》和蒂姆·韦伯。“后卫的困境:规划网络安全”走向。国防技术信息中心——科技(DTIC)。兰德公司。2015-01-01。<http: //www.dtic.mildtic /tr /全文/u2 /a620191.pdf>。

Alexey马尔可夫,弗拉季斯拉夫•安德鲁•Fadin Shvets和Valentin Tsirlov。“比较静态安全代码分析器”的经验。3号。国际高级研究杂志》上。卷5。2015 - 08年。<XXX>。

刘Dongrui Liu东升,力平张,分钟后,王春晖。“克隆代码质量的预测基于贝叶斯网络”。4号。国际软件工程及其应用》杂志上。卷。10。2016年。<http: //www.sersc.org/期刊/IJSEIA /vol10_no4_2016 /5. pdf>。

丹尼尔•菲舍尔马丽拉位咨询专家,Jean-Fran-rois工作,汤姆·勒克莱尔塞德里克Mauny和杰里米·Thimont。《弱点:一个框架来提高操作任务数据系统安全”。IEEE航空会议,2015 - 03。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 7118924 &标签= 1>。

Aneesa赛义德S.H.A.哈米德。“基于定理验证静态分析器:ESC / Java2和关键”之间的比较分析。体积:315章:68。先进的计算机和通信工程技术。727 - 737页。施普林格国际出版,2015 - 01。<http: //rd.springer.com/章/10.1007 /978 - 3 - 319 - 07674 - 4 - _68 #>。

燕,Irena Bojanova Yaacov Yesha。“他们知道你的弱点,你呢?:重新常见弱点枚举。”供应链保证。相声。9月/ 2015年10月。<http: //static1.1.sqspcdn.com/静态/f /702523 /26523304 /1441780301827 /201509 - wu.pdf>。

赵陆Tianbo Shixian Du,玲玲,Bing,郭刘晓波和宏宇杨。“对分析软件供应链风险管理”。世界大会在工程和计算机科学学报》(卷1). .2013 - 10。<http: //www.iaeng.org/出版/WCECS2013 /wcecs2013_pp162 - 167. - pdf>。

Bhargava Shastry,费边山口,康拉德Rieck和jean - pierre塞弗特。“对漏洞发现使用了程序分析”。布伦瑞克科技大学,2016 - 04。<https: //pdfs.semanticscholar.org/340 b /d3f7405e7ba7182db9369e951f8722bba2cd.pdf>。

“CWE投票”。SpiderLabs博客。网络爬行。2012-11-06。<http: //blog.spiderlabs.com/2012 /11 /cwe-the-vote.html>。

弗雷德里克·Seehusen。“基于风险的安全使用CAPEC测试”。施普林格瑞士国际出版。2015年。<http: //rd.springer.com/内容/pdf /10.1007% 2 f978 - 3 - 319 - 26416 - 5 - _6.pdf>。

韩KyungSook Wooyeol公园,Ilgwon杨Changhwan儿子和Changwoo民众。“脆弱性分析和发展安全的PHP编码规则”。交易计算实践。韩国信息研究所的科学家和工程师(KIISE)。2015年。<http: //dx.doi.org/10.5626 /KTCP.2015.21.11.721>。

哈瑞Pichukala P和K。“脆弱性分析设备连接到互联网”。2卷,问题4。国际先进研究期刊》的研究在计算机科学与技术(IJARCST)。2014年10月- 12月。<http: //ijarcst.com/文档/vol2-issue4 /ver.1 /harish_p.pdf>。

瑞安·c·巴内特。“Web应用程序中后卫的食谱:对抗黑客和保护用户”。威利》2013。<http: //books.google.com/书吗?id = flC9dFFLWIsC&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

大卫·林赛。“OWASP前十名覆盖是什么意思你…你有吗?”。软件测试。Coverity公司. .2014-03-24。<http: //blog.coverity.com/2014 /03 /24 /owasp-top-10-coverage /# .VfcM4BFVhBc>。

乔安娜·f·DeFranco。“每一个工程师应该知道网络安全和数字取证”。CRC出版社。2013年。<http: //books.google.com/书吗?id = TWpmAQAAQBAJ&printsec = frontcover&源= gbs_ge_summary_r&cad = 0 # v = onepage&提问f = false>。

布兰登贝利。“一个行之有效的方法来开发安全软件和应用地面系统”。美国国家航空航天局戈达德太空飞行中心,2016 - 02年。<http: //hdl.handle.net/2060 /20160003695>。

Paul e .黑色。“基本的测试套件CWE有效性”。SAMATE——软件保证评价指标和工具。国家标准与技术研究院(NIST)。2013 - 03。<https: //buildsecurityin.us-cert.gov /网站/默认的/文件/保罗-黑色-基本cwe -效应- swaforum - mar - 2013. - pdf>。

布兰登贝利。“解决软件安全”。美国国家航空航天局戈达德太空飞行中心,2015 - 11。<http: //ntrs.nasa.gov /归档/美国国家航空航天局/casi.ntrs.nasa.gov /20150023414. pdf>。

“清洁发展机制脆弱性管理(VUL)能力”。漏洞管理——连续诊断和缓解。国土安全部,办公室的网络和通讯》2013。<https: //www.us-cert.gov网站/默认的/文件/cdm_files /Intro_to_VUL.pdf>。

“移动安全参考体系结构”。v1.0。联邦首席信息官理事会和国土安全部国家保护网络安全办公室和通讯联邦网络弹性。2013-05-23。<https: //cio.gov /wp-content /上传/下载/2013 /05年/Mobile-Security-Reference-Architecture.pdf>。

Patrick O ' reilly拉里·费尔德曼和格雷格·威特。“电脑安全部门:2014年年度报告”。修改4。NIST的特殊出版。800 - 53。CSD的出版物,2015 - 8。<http: //dx.doi.org/10.6028 /nist.sp.800 - 176>。

斯蒂芬•Moskal本·惠勒,德里克罗斯·迈克尔·e·库尔和Shanchieh杰伊·杨。“多级网络攻击仿真环境模型融合”。军事通信会议(亚)。158 - 163页。IEEE。2014-10-06。<http: //ieeexplore.ieee.org/爆炸/icp.jsp吗?arnumber = 6956753 &标签= 1>。

“连续诊断和缓解(CDM)”。1.0版。CDM训练模块。国土安全部(DHS)。2014-09-29。<https: //www.us-cert.gov网站/默认的/文件/cdm_files /VulnerabilityManagementImplementation.pdf>。

“技术能力至关重要”。人力资本危机在网络安全。白皮书的战略与国际研究中心的网络安全委员会第44任总统。战略与国际研究中心(CSIS)。2010 - 07。<http: //csis.org/文件/出版/100720 _lewis_humancapital_web_blkwhteversion.pdf>。

“连续资产评估、态势感知和风险报告评分参考架构(凯撒)”。1.8版。文档没有。MP100146。国土安全部联邦网络安全部门,2010 - 09年。<https: //www.dhs.govxlibrary /资产/fns-caesars.pdf>。

“首席信息官联邦信息安全管理法案》报告指标”。2012财政年度。美国国土安全部国家网络安全部门联邦网络安全。2012-02-14。<https: //www.dhs.govxlibrary /资产/nppd /ciofismametricsfinal.pdf>。

“首席信息官联邦信息安全管理法案》报告指标”。2013财政年度。美国国土安全部办公室网络安全和通信联邦网络弹性。2012-11-30。<https://www.dhs.gov/sites/default/files/publications/FY13%20CIO % 20FISMA % 20Metrics.pdf.pdf>。

Djenana Campara。“一个机载网络建立和维持信任关系”。afrl - ry - wp - tr - 2014 - 0251。国防技术信息中心——科技(DTIC)。空军研究实验室——传感器理事会。2014年12月。<http: //www.dtic.mildtic /tr /全文/u2 /a614972.pdf>。

亚历山德罗Oltramari Noam Ben-Asher罗莉卡拉纳,Lujo鲍尔和尼古拉斯·克里斯汀。“混合建模的一般要求网络安全框架”。军事通信会议(亚)。129 - 135页。IEEE。2014-10-06。<http: //ieeexplore.ieee.org/爆炸/articleDetails.jsp吗?arnumber = 6956749 &标签= 1>。

哥伦比亚大学:塞尔瓦托斯多夫,才气d . Keromytis Junfeng杨Dimitris Geneiatakis Michalis Polychronakis,乔治·Portokalidis,作者,作者,Kangkook Jee, Vasileios p . Kemerlis:乔治梅森大学,才气Stavrou,赛门铁克:丹•弗莱克,内森·埃文斯马修哥哥和阿瑟Benameur。“蔬菜通心粉汤”。afrl - ry - wp - tr - 2015 - 0002。空军研究实验室——传感器理事会。IARPA公共事务办公室(PAO)。2015 - 03。<http: //samate.nist.gov /肉红玉髓/资源/stonesoup_afrl ry - wp - tr - 2015 - 0002. - pdf>。

):智能电网和Cyber-Physical系统项目办公室和能源与环境部门,工程实验室与物理测量实验室合作和信息技术实验室。“NIST框架和路线图智能电网互操作性标准,3.0版本”。3.0版本。NIST的特殊出版(草案)》。1108年。国家标准与技术研究院(NIST)。2014 - 05。<http: //www.nist.gov工作/上传/草案- nist - sg -框架- 3. - pdf>。

“在分析静态分析工具”。美国国家安全局(NSA)中心保证软件(CAS)。2011-07-26。<http: //media.blackhat.com/bh-us-11 /威利斯/BH_US_11_WillisBritton_Analyzing_Static_Analysis_Tools_WP.pdf>。

“坚持事实II:科学研究静态分析工具”。满足四车间。国家安全局(NSA)信息保障部门(IAD)中心保证软件(CAS)。2012-03-29。<http://samate.nist.gov/docs/SATE4/SATE%20第四% 206%的20坚持% 20% 20事实% 20II % 20Erno.pdf>。

在国防部长办公室采购,技术,物流。”计划保护计划大纲和指导”。1.0版。副助理国防部长系统工程。2011-07-18。<http: //www.acq.osd.milse /文档/PPP-Outline-and-Guidance-v1-July2011.docx>。

助理国防部长办公室研究和工程。“国防采办指南——你的收购政策和可自由支配的最佳实践指南”。购买力平价软件保证章。道信息系统服务中心(ISSC)。2013-09-17。<https: //acc.dau.mil /dag13.7.3>。

乍得多尔蒂。“实用的识别SQL注入漏洞”。美国计算机紧急响应小组(us - cert)。卡内基梅隆大学,2012。<https: //www.us-cert.gov网站/默认的/文件/出版物/Practical-SQLi-Identification.pdf>。

大卫Melski。“阻止对软件利用不确定的来源(PEASOUP)”。afrl - ry - wp - tr - 2015 - 0017。空军研究实验室——传感器理事会。美国空军第88空军基地翼(88 ABW)公共事务办公室(PAO)。2015 - 05。<http: //samate.nist.gov /阶跃恢复二极管/资源/stonesoup_rywa - y0lg afrl ry - 0017 - _final.pdf wp - tr - 2015>。

理事长绪方迈克尔·芭芭拉·格特曼和纳尔逊·黑斯廷斯。“公共安全移动应用安全需求研讨会总结”。国家标准与技术研究所的内部报告8018 (NISTIR)。8018年。国家标准与技术研究院(NIST)。2015 - 01。<http: //dx.doi.org/10.6028 /NIST.IR.8018>。

保罗·r·波皮克和梅林达•里德。“供应链需求挑战解决恶意威胁”。16卷,问题2。INCOSE洞察力。国际系统工程委员会(INCOSE)。2013 - 07。<http: //www.acq.osd.milse /文档/ReqChallengesSCThreats-Reed-INCOSE-Vol16-Is2.pdf>。

很多作者。“软件保证参考数据集(肉红玉髓)”。4.6版。信息技术实验室、软件和系统。美国国家标准与技术研究院(NIST)。最后更新2015-07-06。<http: //samate.nist.gov /肉红玉髓/testsuite.php>。

系统工程副助理国防部长和国防部首席信息官。“建议语言为值得信赖的系统和网络系统安全工程合并到国防部请求建议书》。国防部。2014 - 01。<http: //www.acq.osd.milse /文档/SSE-Language-for-TSN-in-DoD-RFPs.pdf>。

本文档是由CERT能力团队ENISA会商CERT波兰/ NASK(波兰)。”进行信息交换和处理的可操作的标准和工具清单”。欧盟机构网络和信息安全。2014年11月。<https: //www.enisa.europa.eu活动/cert /支持/可操作的信息/standards-and-tools-for-exchange-and-processing-of-actionable-information /at_download /fullReport>。

系统工程副助理国防部长和国防部首席信息官。“建议语言为值得信赖的系统和网络系统安全工程合并到国防部请求建议书》。副助理国防部长,2014年1月。<http: //www.acq.osd.milse /文档/SSE-Language-for-TSN-in-DoD-RFPs.pdf>。

Jon Boyens、西莉亚Paulsen罗摩Moorthy Nadya Bartol。“供应链风险管理实践为联邦信息系统和组织”。NIST的特殊出版(SP)。800 - 161。国家标准与技术研究院(NIST)。2015 - 04。<http: //dx.doi.org/10.6028 /nist.sp.800 - 161>。

系统工程副助理国防部长和国防部首席信息官。“软件保证对策程序保护计划”。国防部。2014 - 03。<http: //www.acq.osd.milse /文档/SwA-CM-in-PPP.pdf>。

亚历山德罗Coglio,红隼研究所:马塞尔·贝克尔,斯蒂芬•菲茨帕特里克丽美Gilham,柯绿,红隼科技,LLC:埃里克·麦卡锡的母鸡Sipma,马修·巴里Anca布朗,埃里克·布什Doug Smith Arnaud Venet,麻省理工学院CSAIL:马丁•Rinard杰夫•帕金斯乔丹艾肯伯里,道格拉斯·Kramm Paolo Piselli Daniel Willenson莎莎Misailovic,风扇长,娃娃Inc .):迈克尔•卡宾保罗·罗伯逊和罗伯特•Laddaga Prakash Manghwani。“字节码被漏洞分析,细致入微的监禁和多样化(振动)”。afrl - ry - wp - tr - 2015 - 0019。空军研究实验室传感器理事会。美国空军第88空军基地翼(88 ABW)公共事务办公室(PAO)。2015 - 06。<http: //samate.nist.gov /肉红玉髓/资源/stonesoup_rywa - y0lh afrl ry - 0019 - _final.pdf wp - tr - 2015>。

丹尼尔•梅利亚,爱德华多Fernandez-Medina和马里奥Piattini。“软件设计安全指标的比较”。恰拉曼查大学。2010。<http: //dbonline.igroupnet.com/ACM.FT /1850000 /1842797 /p236-mellado.pdf>。

Igor Kotenko和安德烈Chechulin。“网络攻击建模和影响评估框架”。网络冲突(CyCon), 2013第五届国际会议。IEEE。2013年6月。<https: //ccdcoe.org/cycon /2013 /程序/d1r2s3_kotenko.pdf>。

威廉·诺尔斯,Alistair男爵和蒂姆McGarr。标准化”的分析和建议在渗透测试和漏洞评估:渗透测试市场调查”。发展网络。BSI集团公司. .2015 - 01。<http: //eprints.lancs.ac.uk /74275 /1 /Penetration_testing_online_2.pdf>。

燕吴邦国委员长和弗雷德里克·蒂姆·博兰。11日网络战与安全国际会议:ICCWS2016。阅读:学术会议国际有限公司。2016。<http: //search.proquest.com/openview /16016445 fbacbcbcb07646a9c459b9f1 /1 ?pq-origsite = gscholar&cbl = 396500>。

南希·r·米德朱莉娅·h·艾伦,w·阿瑟·康克林Antonio Drommi Rainey杰夫Ingalsbe,詹姆斯和约翰•哈里森丹鞋匠。“软件保证的商业案例”。特别报道。CMU / sei - 2009 - sr - 001。卡内基梅隆大学软件工程研究所(SEI)。2009 - 04。<http: //www.cert.org/归档/pdf /09年sr001.pdf>。

雅罗西克Slaby Jan Strejček Marek Trtik。“CLABUREDB:分类缺陷报告数据库”。体积7737系列的课堂讲稿在计算机科学。14日国际会议VMCAI 2013。页268 - 274。激飞柏林海德堡。2013年1月。<http: //www.fi.muni.cz~ xstrejc /出版物/vmcai2013preprint.pdf>。

卡罗伍迪,博士。“过程改进应链接到安全:SEPG 2007安全跟踪回顾”。技术报告。CMU / sei - 2007万亿- 025。卡内基梅隆大学软件工程研究所(SEI)。2007 - 09年。<http: //repository.cmu.edu/sei /22 />。

罗伯特·j·埃里森John b .前言,查尔斯·b·魏因斯托克和卡罗伍迪。“评估和减轻软件供应链安全风险”。技术报告。CMU / sei - 2010万亿- 016。卡内基梅隆大学软件工程研究所(SEI)。2010 - 05。<http: //repository.cmu.edu/sei /22 />。

罗伯特·j·埃里森克里斯托弗·j·爱尔丽塔c .捕虾笼,奥黛丽j . Dorofee和卡罗尔·c·伍迪。“软件供应链风险管理:从产品到系统的系统”。研究展示。CMU / sei - 2010万亿- 026。卡内基梅隆大学软件工程研究所(SEI)。2010-12-01。<http: //repository.cmu.edu/sei /603 />。

弗雷德长,Dhruv Mohindra罗伯特Seacord大卫Svoboda。“Java并发性指南”。技术报告。CMU / sei - 2010 - tr - 015。卡内基梅隆大学软件工程研究所(SEI)。2010-05-01。<http: //repository.cmu.edu/sei /18 />。

丽莎Brownsword,卡罗尔·c·伍迪博士克里斯托弗·j·爱尔和安德鲁·p·摩尔。“建模软件保证生态系统的框架:从软件保证景观项目”。技术报告。CMU / sei - 2010 - tr - 028。卡内基梅隆大学软件工程研究所(SEI)。2010 - 08年。<http: //repository.cmu.edu/sei /1 />。

居一个王,郭Minzhe,夏王郝、最小值和Linfeng周。“基于本体的安全评估软件产品”。8日网络安全和信息情报研究研讨会。南方州立理工大学网络空间科学和信息情报研究机构。2009年。<http: //csiir.ornl.gov /csiirw /09年/CSIIRW09-Proceedings /摘要/Wang-abstract.pdf>。

Bumryong Kim Jun-ho歌,Jae-Pye公园和Moon-seog君。“可采自动检定系统的设计安全开源软件”。课堂讲稿电气工程在计算机科学的进步和无处不在的计算,CSA&CUTE。373卷。2015 - 12所示。<http: //rd.springer.com/内容/pdf /10.1007% 2 f978 - 981 - 10 - 0281 - 6 - _40.pdf>。

徐Fangqi太阳,梁和Zhendong苏。电子商务应用“检测逻辑漏洞”。戴维斯加州大学。2014。<http: //sun.cs.ucdavis.edu/论文/ndss14_logic.pdf>。

阿哈立德艾尔维和穆罕默德Zulkernine。“自然分类方案软件安全模式”。2011年第九IEEE国际会议上可靠,自主和安全计算。DOI 10.1109 / DASC.2011.42。IEEE计算机协会,2011-12-12。<http: //ieeexplore.ieee.org/爆炸/abs_all.jsp吗?arnumber = 6118361 &标签= 1>。

居一个王,郭Minzhe王郝,j . Camargo Linfeng周。“基于脆弱性分析排名攻击”。2010年第43夏威夷国际会议系统科学(HICSS)。DOI 10.1109 / HICSS.2010.313。IEEE计算机协会,2010。<http: //xplqa30.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 5428663>。

Imano威廉姆斯。“评估方法开发和排名滥用情况下基于威胁建模,攻击模式和共同弱点枚举”。理科硕士论文。北卡农业技术州立大学。2015。<http: //search.proquest.com/docview /1761832676>。

尼古拉•Palix茱莉亚Lawall和吉尔•穆勒。“Herodotos:工具暴露缺陷的生命”。版本1。葡萄园3 - Reseaux,系统等服务,计算distribue Equipes-Projets君威。inria - 00406306。国家在研究所Informatique en的时候。2009-06-21。<http: //hal.inria.fr /文档/00 /40 /63 /06 /PDF /rr - 6984. - pdf>。

亨利克·斯图尔特。“狩猎与Coccinelle bug”。2008-08-08。<http: //www.emn.frz-info /coccinelle /stuart_thesis.pdf>。

克里斯托弗·爱尔,卡罗尔伍迪和奥黛丽Dorofee。“介绍安全工程风险分析(血清)框架”。Technical Note CMU / sei - 2014万亿- 025。卡内基梅隆大学软件工程研究所- CERT。2014 - 11所示。<http: //www.dtic.mildtic /tr /全文/u2 /a617945.pdf>。

安全编码学习中心。Klocwork Inc . .<http: //www.klocwork.com/网络学习/secure-programming-courses />。

珍妮弗·Bayuk和阿里Mostashari。“测量系统安全”。1号。系统工程。16卷。。威利期刊,2012年Inc .。<http: //www.bayuk.com/出版物/Bayuk-MeasuringSysSecurity.pdf>。

陈高简帛,张宝稳定,小华和罗郑。“基于本体模型的网络和计算机攻击安全评估”。上海交通大学学报(自然科学)。中国学术期刊,2013 - 05。<http: //www.cnki.com.cn//条CJFDTotal-TRAN201305007.htm>。

名Ansarinia、Seyyed Amir Asghari Afshin Souzani和Ahmadreza Ghaznavi。“基于本体的建模DDoS攻击的攻击检测计划”。2012年第六次国际研讨会上电信(IST)。2012-11-6。<http: //ieeexplore.ieee.org/爆炸/abs_all.jsp吗?arnumber = 6483131 &标签= 1>。

“OVM技术:本体脆弱性管理”。上交所实验室计算机和软件工程学院的南方州立理工大学,2009。<http: //cse.spsu.edu/jwang /研究/本体/main.html>。

艾哈迈德·萨拉希和名Ansarinia。“使用类型推断预测网络攻击”。卷4,问题1。国际期刊的信息和通信技术(IJICT)。2012 - 1。<http: //arxiv.org/pdf /1304.0913 v1>。

卡罗尔伍迪博士罗伯特·埃里森博士和威廉·尼克尔斯博士. .“预测软件使用质量和可靠性保证措施”。Technical Note CMU / sei - 2014万亿- 026。卡内基梅隆大学软件工程研究所- CERT部门/ SSD。2014年12月。<http: //www.dtic.mildtic /tr /全文/u2 /a617961.pdf>。

Christoph设托马斯•格鲁伯彼得Puschner和欧文Schoitsch。“安全应用故障模式及影响分析(FMEA)”。SAFECOMP第33国际会议。页310 - 325。施普林格国际出版。2014年9月。<http: //www.arrowhead.euwp-content /上传/2013 /03 /FMVEA_camera_ready.pdf>。

汉斯·河中沙洲。“零日攻击:基于签名的入侵检测(不)一个封闭的章吗?”。2014年第47夏威夷国际会议系统科学(HICSS)。页4895 - 4904。IEEE。2014 - 01。<http: //ieeexplore.ieee.org/邮票/stamp.jsp吗?tp = &arnumber = 6759203>。

悉尼Pratte Shena Fortozo,据传Kispal, Adesh Banvait,阿拉Azazi和拿俄米Hiebert说道。“安全软件开发策略”。卡尔加里大学,2013。<http: //kremer.cpsc.ucalgary.ca /课程/seng403 /W2013 /论文/08年softwaresecurity.pdf>。

Zareen赛义德·蒂姆•Finin Ankur Padia和丽莎·马修斯。“支持情境意识到网络安全系统”。马里兰大学巴尔的摩县,2015 - 09年。<http: //ebiquity.umbc.edu/_file_directory_ /论文/778. pdf>。

帕斯卡莫尼耶。“类漏洞和攻击”。威利对国土安全科学技术手册。技术文章——CS03。教育和研究中心信息保障和安全(出现),普渡大学,2007。<https: //pdfs.semanticscholar.org/9 ce1 /2453年bf02653d5bcc3f6b7cd9db2e29cd6f16.pdf>。

卡罗尔伍迪,博士和丹的鞋匠,博士. .“语境因素的影响的安全代码”。国防技术信息中心——科技(DTIC)。卡内基梅隆大学软件工程研究所- CERT部门/ SSD。2014 - 12所示。<http: //www.dtic.mildtic /tr /全文/u2 /a617283.pdf>。

Farnaz Towhidi、《Abdul Manaf Salwani穆罕默德达乌德,乔哈比比Lashkari。“基于知识的身份验证攻击”。2011年世界大会在计算机科学、计算机工程、计算和应用。所de La Plata, 2013 - 5。<http: //weblidi.info.unlp.edu.ar /WorldComp2011-Mirror /SAM8123.pdf>。

格雷戈里·保罗·爱丽丝和南希·r·米德。“使用恶意软件分析裁缝广场为移动平台”。技术报告。CMU / sei - 2014万亿- 018。卡内基梅隆大学软件工程研究所(SEI)。2014 - 11。<http: //resources.sei.cmu.edu/图书馆/asset-view.cfm吗?assetid = 425994>。

詹姆斯·a . Kupsch和巴顿p·米勒。“为什么软件保证工具有问题找到虫子喜欢Heartbleed吗?”。1.3版。软件保证市场(沼泽)。美国威斯康辛州麦迪逊市的威斯康星大学。2014-05-16。<https: //continuousassurance.org/沼泽/SWAMP-Heartbleed-White-Paper-22Apr2014-current.pdf>。

“自动化质量特性措施方案及规范”。方案- tr - 2012 - 01。财团的软件质量(方案)。2012年。<http: //it-cisq.org/wp-content /上传/2012 /09年/CISQ-Specification-for-Automated-Quality-Characteristic-Measures.pdf>。

“国土安全部控制系统安全计划(CSSP)工业控制系统中常见的网络安全漏洞”。2011 - 05。<http: //ics-cert.us-cert.gov /网站/默认的/文件/文件/DHS_Common_Cybersecurity_Vulnerabilities_ICS_2010.pdf>。

罗宾·甘地,Keesha克罗斯比,哈维Siy和Sayonnha Mandal。“软件安全评估FISMA的影响”。体积:47岁的问题:9。电脑。103 - 107页。IEEE计算机协会,2014 - 09年。<http: //ieeexplore.ieee.org/爆炸/articleDetails.jsp吗?arnumber = 6898784 &标签= 1>。

史黛西·辛普森,马克贝尔克,凯西奥Goldschmidt,迈克尔•霍华德马特•科尔斯凯尔伦道夫,Mikko Saario, Reeny Sondhi,伊扎尔Tarandach, Antti Vaha-Sipila和Yonko Yonchev。“最有效的安全指南开发实践在今天使用”。第二版。软件开发基本实践安全。软件保证卓越论坛代码(SAFECode)。2011-02-08。<https: //safecode.org/出版/SAFECode_Dev_Practices0211.pdf>。

Vishal就是为了伊扎尔Tarandach,尼尔·唐格,布莱恩·苏利文和Mikko Saario。“实用安全的故事和安全任务敏捷开发环境”。软件保证卓越论坛代码(SAFECode)。2012-07-17。<http: //www.safecode.org/出版物/SAFECode_Agile_Dev_Security0712.pdf>。

杰森。“评估结果的交换和共享”。无软件安全与弗兰克金正日——AppSec博客。SANS研究所。2010-11-19。<http: //software-security.sans.org/博客/2010 /11 /19日/exchanging-sharing-assessment-results />。

“保护Web应用技术(SWAT)检查表”。23日版。保护人类。2013年冬天。SANS研究所。2010。<http: //www.securingthehuman.org/开发人员/斯瓦特>。

“保护Web应用技术(SWAT)检查表”。23日版。安全意识路线图海报。2013年冬天。SANS研究所。2010。<http: //software-security.sans.org/下载/appsec_keys.pdf>。

约翰内斯·乌尔里希博士,杰森·d·蒙哥马利,大卫大米、弗兰克•金罗希特Sethi和Roert Seacord。“顶级35安全开发技术和共同安全编程中的错误”。19日版。键来构建一个伟大的应用程序安全程序。2010年春季。SANS研究所。2010。<http: //software-security.sans.org/下载/appsec_keys.pdf>。

博士卡尔后备军人。“安全承担不确定性来源的新可执行的软件”。STONESOUP提议的一天。IARPA-BAA-09-08。情报高级研究项目活动(IARPA),安全操作办公室,国家情报总监办公室、情报高级研究项目活动。<http: //www.iarpa.gov项目/sso /STONESOUP /演示/Stonesoup_Proposer_Day_Brief.pdf>。

“关键实践减轻最恶劣的可利用的软件弱点”。2.4版。软件保证(SwA)袖珍指南系列:发展。卷二世。国土安全部NCSD软件保证社区资源和信息交流中心。2012-11-01。<ftp: //ftp.sei.cmu.edu/发布/pruggiero /bsi-swa /1 /KeyPracticesMWV22_20121101.pdf>。

CERT / CC漏洞Notes数据库。卡内基梅隆大学软件工程研究所(SEI)。<http: //www.kb.cert.org/vul />。

“CWE漏洞术语表”。研究。高科技的桥。<https: //www.htbridge.com/脆弱性/>。

国家漏洞数据库(NVD)。国家标准与技术研究院(NIST)。<http: //nvd.nist.gov /cwe.cfm>。

“NIST SAMATE引用数据集项目”。SAMATE——软件保证评价指标和工具。国家标准与技术研究院(NIST)。<http: //samate.nist.gov /阶跃恢复二极管/>。

“ESAPI控制连续波”的报道。企业安全API (ESAPI)。开放的Web应用程序安全项目(OWASP)。<https: //www.owasp.org/index . php /CWE_ESAPI>。

“OWASP前十名”。2010年。开放的Web应用程序安全项目(OWASP)。<https: //www.owasp.org/index . php /类别:OWASP_Top_Ten_Project # OWASP_Top_10_for_2010>。

“OWASP前十名”。2013年。开放的Web应用程序安全项目(OWASP)。<https: //www.owasp.org/index . php /类别:OWASP_Top_Ten_Project # OWASP_Top_10_for_2013>。

“WASC威胁分类”。2.00版。Web应用程序安全联盟(WASC)。2010-01-01。<http: //projects.webappsec.org/f /WASC-TC-v2_0.pdf>。

“信息技术,编程语言,指导避免漏洞通过语言编程语言的选择和使用”。2013年。ISO / IEC TR 24772。ISO。<http: //www.iso.org/iso /回家/存储/catalogue_tc /catalogue_detail.htm吗?csnumber = 61457>。

“ISO / IEC 29147:2014信息技术——安全技术脆弱性信息披露”。ISO。2014年。<http: //www.iso.org/iso /catalogue_detail.htm吗?csnumber = 45170>。

“ISO / IEC TR 20004:2012信息技术——安全技术——提炼软件脆弱性分析在ISO / IEC 15408和ISO / IEC 18045”。ISO。2012年。<http: //www.iso.org/iso /iso_catalogue /catalogue_tc /catalogue_detail.htm吗?csnumber = 50951>。

“共同的弱点枚举。”系列X:数据网络、开放系统通信和安全网络安全信息交换-脆弱性/国家外汇。建议ITU-T X.1524。ITU-T国际电信联盟电信标准化部门。2012 - 03。<http: //www.itu.intrec /t - rec - x.1524 - 201203 - i /在>。

“常见的攻击模式枚举和分类”。系列X:数据网络、开放系统通信和安全网络安全信息交换——事件/事件/启发式交换。建议ITU-T X.1544。ITU-T国际电信联盟电信标准化部门。2013 - 04。<http: //www.itu.intrec /t - rec - x.1544 - 201304 - i>。

伊丽莎白·n·方保罗·e·黑迈克尔·j·卡斯和Hsiao-Ming m .古。“源代码安全分析工具功能规范”。1.0版。NIST的特殊出版(NIST SP)。500 - 268。国家标准与技术研究所,2007-05-01。<http: //www.nist.govcustomcf /get_pdf.cfm吗?pub_id = 51171>。

Paul e .黑色,伊丽莎白·n·方瓦迪姆奥肯和罗曼·高雪氏症。“软件保证工具:Web应用程序安全扫描器的功能规范”。1.0版。NIST的特殊出版(NIST SP)。500 - 269。国家标准与技术研究所,2008-02-14。<http: //www.nist.govcustomcf /get_pdf.cfm吗?pub_id = 51294>。

Hsiao-Ming m .古罗曼高雪氏症,Charline Cleraux Jenise雷耶斯罗德里格斯。“源代码安全分析工具测试计划”。NIST的特殊出版(NIST SP)。500 - 270。国家标准与技术研究所,2011-10-04。<http: //www.nist.govcustomcf /get_pdf.cfm吗?pub_id = 908921>。

瓦迪姆奥肯,罗曼·高雪氏症和保罗·e·布莱克。“静态分析工具博览会(满足)2008”。NIST的特殊出版(NIST SP)。500 - 279。国家标准与技术研究所,2009-06-22。<http: //www.nist.govcustomcf /get_pdf.cfm吗?pub_id = 902679>。

瓦迪姆奥肯,保罗·e·黑Aurelien m . Delaitre。“报告第三静态分析工具博览会(满足2010)”。NIST的特殊出版(NIST SP)。500 - 283。国家标准与技术研究所,2011-10-27。<http: //www.nist.govcustomcf /get_pdf.cfm吗?pub_id = 909407>。

瓦迪姆奥肯,Aurelien m . Delaitre和保罗·e·布莱克。“静态分析工具报告博览会(满足)IV”。NIST的特殊出版(NIST SP)。500 - 297。国家标准与技术研究所,2013-02-04。<http: //www.nist.govcustomcf /get_pdf.cfm吗?pub_id = 912378>。

Murugiah p Souppaya和卡伦Scarfone。“技术信息安全测试和评估指南”。NIST的特殊出版(NIST SP)。800 - 115。国家标准与技术研究所,2008-09-30。<http: //www.nist.govcustomcf /get_pdf.cfm吗?pub_id = 152164>。

凯利·L·邓普西,L a·约翰逊,马修·a·肖勒凯文·m·斯坦,艾丽西亚粘土琼斯,安琪拉Orebaugh, Nirali s·乔和罗纳德·约翰斯顿。“信息安全持续的监控(或弹性体)联邦信息系统和组织”。NIST的特殊出版(NIST SP)。800 - 137。国家标准与技术研究所,2011-09-30。<http: //www.nist.govcustomcf /get_pdf.cfm吗?pub_id = 909726>。

克里斯·约翰逊,李獾和大卫Waltermire。“指南网络威胁信息共享(草案)”。汇票。NIST的特殊出版(NIST SP)。800 - 150。国家标准与技术研究院,2014 - 10。<http: //csrc.nist.gov /出版物/汇票/800 - 150 /sp800_150_draft.pdf>。

Murugiah p Souppaya和卡伦Scarfone。”指导方针,确保无线局域网络(无线局域网)”。NIST的特殊出版(NIST SP)。800 - 153。国家标准与技术研究所,2012-02-21。<http: //www.nist.govcustomcf /get_pdf.cfm吗?pub_id = 910174>。

罗纳德·s·罗斯。“安全和隐私控制联邦信息系统和组织”。NIST的特殊出版(NIST SP)。800 - 163。国家标准与技术研究院,2015 - 01。<http: //dx.doi.org/10.6028 /nist.sp.800 - 163>。

罗纳德·s·罗斯。“安全和隐私控制联邦信息系统和组织”。修改4。NIST的特殊出版(NIST SP)。800 - 53。国家标准与技术研究所,2013-04-30。<http: //dx.doi.org/10.6028 /NIST.SP.800-53r4>。

卡伦·彼得•m .干预Scarfone和萨沙Romanosky。“普通危险得分系统(CVSS)及其适用性联邦机构系统”。NIST /内部报告(NISTIR)。7435年。国家标准与技术研究所,2007-08-30。<http: //www.nist.govcustomcf /get_pdf.cfm吗?pub_id = 51231>。

西莉亚鲍尔森,乔恩•m . Boyens Nadya Bartol,罗摩Moorthy和斯蒂芬妮Shankles。”名义供应链风险管理实践联邦信息系统”。NIST /内部报告(NISTIR)。7622年。国家标准与技术研究所,2012-10-16。<http: //dx.doi.org/10.6028 /NIST.IR.7622>。

安娜贝拉。“智能电网的网络安全指南:1卷,智能电网的网络安全战略,建筑,和高级需求”。卷。1。NIST /内部报告(NISTIR)。7628年。国家标准与技术研究所,2010-08-31。<http: //www.nist.govcustomcf /get_pdf.cfm吗?pub_id = 906224>。

智能电网互操作面板-智能电网的网络安全委员会。“智能电网的网络安全指南卷1 -智能电网的网络安全战略,建筑,和高水平的需求”。修改1。NISTIR。7628年。国家标准和技术研究所的跨部门报告,2014 - 09年。<http: //dx.doi.org/10.6028 /NIST.IR.7628r1>。

约书亚·富兰克林,查尔斯Wergin和哈罗德·布斯。“CVSS实现指导”。汇票。NIST /内部报告(NISTIR)。7946年。国家标准与技术研究院,2013 - 09年。<http: //csrc.nist.gov /出版物/汇票/nistir - 7946 /draft_nistir_7946.pdf>。

“需求和安全评估程序”。2.0版。支付卡行业(PCI)数据安全标准。PCI安全标准委员会,2010 - 10。<https: //www.pcisecuritystandards.org/文件/pa-dss_v2.pdf>。