安全生命周期与开发流程精讲
📚 30章 · 完整版
v2.0
01
安全开发生命周期概述
SDL概念
安全左移
为什么需要SDL
行业实践案例
02
安全威胁建模
威胁建模概念
STRIDE模型
数据流图
威胁评估
03
安全需求分析
安全需求来源
隐私合规
功能安全
需求文档
04
安全架构设计
安全架构原则
最小权限
纵深防御
默认安全
架构评审
05
安全编码规范
OWASP Top 10
输入验证
输出编码
认证与会话
访问控制
06
代码安全审计
SAST
DAST
IAST
代码审查流程
07
软件组成分析
开源组件风险
SBOM清单
依赖漏洞扫描
许可证合规
08
安全测试策略
渗透测试
模糊测试
安全回归测试
测试用例设计
09
DevSecOps实践
CI/CD安全集成
安全门禁
自动化工具链
安全度量
10
云原生安全
容器安全
镜像扫描
K8s安全配置
微服务通信
11
数据安全与隐私
数据分类分级
数据脱敏
加密算法
隐私影响评估
12
身份认证与授权
OAuth 2.0
OpenID Connect
JWT安全
多因素认证
单点登录
13
API安全
RESTful安全
GraphQL安全
API网关
速率限制
14
移动应用安全
iOS安全
Android安全
数据存储安全
网络通信安全
15
Web安全进阶
XSS防御
SQL注入防御
CSRF防御
文件上传安全
16
安全配置管理
服务器安全基线
数据库安全配置
中间件加固
网络设备安全
17
日志与监控安全
安全日志规范
日志审计
SIEM集成
异常检测告警
18
事件响应与应急
安全事件分类
应急响应流程
取证分析
复盘改进
19
供应链安全
供应商评估
第三方组件管理
软件物料清单
供应链攻击防御
20
密码学应用
对称/非对称加密
哈希与MAC
数字签名/证书
密钥管理
21
安全培训与意识
培训计划
钓鱼演练
安全文化
开发者意识
22
合规与审计
GDPR
等保2.0
PCI DSS
SOC2审计
23
安全度量与KPI
安全指标
漏洞修复时效
安全覆盖率
ROI计算
24
零信任架构
零信任理念
微隔离
身份驱动安全
持续验证
25
AI与安全
AI模型安全
对抗性攻击防御
AI安全检测
大模型安全
26
物联网安全
IoT设备安全
固件安全
通信协议安全
边缘计算安全
27
区块链安全
智能合约审计
共识机制安全
私钥管理
DeFi安全
28
安全运营中心
SOC架构
威胁情报
SOAR
人员技能
29
灾难恢复与业务连续性
备份策略
容灾架构
演练计划
RTO/RPO
30
安全趋势与未来
AI驱动安全
量子计算威胁
无密码认证
隐私增强技术