1.2 编写目的

本书的主要目的是向读者提供软件安全保障相关的设计、开发、测试、维护等原则和实践建议，以便将安全因素纳入软件开发的整个生命周期过程，以增强软件产品的安全性。然而，由于软件安全涉及的内容非常广泛，无法面面俱到，因此本书的重点是帮助读者厘清软件安全开发的框架和脉络，讲解软件安全保障的基本思路和方法。

本书主要的读者是软件开发、设计、测试、维护等人员，包括：

● 安全需求分析人员；

● 软件架构师和设计师；

● 程序开发人员；

● 软件集成商；

● 软件测试人员；

● 软件维护人员；

● 软件配置人员；

● 项目经理。

本书所述的原则和实践建议包括了ISO 15408、能力成熟度模型、软件工程等相关的框架、模型和标准，这些为软件安全保障的实施和持续改进提供了基础。本书假定读者已熟悉通用的软件开发概念、原则和实践。为了充分理解本书内容，读者还应熟悉信息安全和网络安全的一些基本概念，如“信任”“特权”“完整性”“可用性”等。