关注
分享
筑梦之月
10+年网络安全领域大厂工作经验,国际注册信息系统安全专家CISSP证书持有者,研究生国家奖学金获得者,发表多篇SCI论文及专利,专注于SDL、DevSecOps、安全体系构建、安全工具等网络安全垂直知识分享与交流。
展开
-
安全设计 | CISA:构建默认安全的软件,软件安全设计的未来之路
CISA发布的《软件安全设计的原则和方法》文档提供了一系列具体的建议和策略,包括威胁建模、最小权限原则、默认安全配置、纵深防御、安全编码实践、持续监控和响应、安全更新和补丁管理等,以帮助软件制造商实现这些原则。文档强调了国际合作的重要性,并呼吁行业反馈,以共同提高全球软件安全标准。通过这些努力,文档旨在促进一个更安全、更有韧性的技术生态系统,其中技术产品在设计和默认状态下都是安全的。(共36页,访问密码: 6277)原创 2024-05-26 11:23:35 · 918 阅读 · 0 评论 -
安全设计 | 安全设计不得马虎!微软STRIDE威胁建模方法让你事半功倍,快速发现应用安全隐患!
威胁建模是一种有助于保护系统、应用程序、网络和服务的有效技术。威胁建模使用以图形形式演示系统工作方式的数据流关系图。之后,它应用一个框架来帮助你发现和修复安全问题。它可帮助你在开发生命周期的早期确定潜在的威胁和降低风险策略。威胁建模方法由微软的安全工程和通信小组开发。与SDLC的其他部分一样,威胁建模也在不断发展,并将应用于新的环境中。当创建自己的安全代码开发流程时,这种方法可能会很好地作为基线,实际上很多公司都参照了微软的威胁建模方法制定了自己的基线。原创 2024-05-26 07:55:37 · 785 阅读 · 0 评论 -
安全设计 | Microsoft 威胁建模工具Threat Modeling Tool安装、使用及威胁生成原理详解(文末附样例)
微软 SDL 威胁建模方法涉及创建关系图、识别威胁、缓解问题和验证每个缓解操作。下面的关系图重点突出了此过程。在识别分析威胁时又用到了SRIDE方法。若想了解更多细节,可以关注博主,参阅博主前期文章。原创 2024-05-25 06:35:29 · 1150 阅读 · 0 评论 -
「 安全设计 」68家国内外科技巨头和安全巨头参与了CISA发起的安全设计承诺,包含MFA、默认密码、CVE、VDP等七大承诺目标
美国网络安全和基础设施安全局(CISA,CyberSecurity & Infrastructure Security Agency)于2024年5月开始呼吁企业是时候将网络安全融入到技术产品的设计和制造中了,CISA于近期发起了安全设计承诺行动,该承诺旨在补充和建立现有的软件安全最佳实践,包括 CISA、NIST、其他联邦机构开发的最佳实践以及国际和行业最佳实践。 CISA 继续支持采用补充措施,以推进安全的设计态势。目前国外主流安全厂商(如Veracode、Sonatype、Qualys)原创 2024-05-12 22:04:41 · 736 阅读 · 1 评论