本书主要介绍GitLabCI/CD的相关内容。首先介绍GitLabCI/CD的基础知识,包括CI/CD的几个基本概念(pipeline、stages、job、GitLabRunner和.gitlab-ci.yml文件);然后介绍GitLabCI/CD的35个关键词、每个关键词的语法及其使用场景,并给出一些示例;最后介绍CI/CD的实践,通过3种不同的项目详细讲解各种部署方式,包括微服务架构项目流水
电子书
内容简介
本书共有13章,分为三大部分,即概念、设计和实施。具体内容包括:第一部分(第1~5章)为全书提供了概念基础,涉及信息安全和隐私基础概述、威胁建模、对可识别威胁进行防御性缓解的通用战略、安全设计模式,以及使用标准的加密库来缓解常见的风险。第二部分(第6~7章)分别从设计者和审查员的角度讨论了如何使软件设计变得安全的指导,以及可以应用哪些技术来实现安全性。第三部分(第8~13章)涵盖了实施阶段的安全性,在有了一个安全的设计后,这一部分将会解释如何在不引入额外漏洞的情况下进行软件开发。
章节目录
- 版权信息
- 版 权
- 内容提要
- 作者简介
- 推荐序
- 自 序
- 致 谢
- 前 言
- 第一部分 概念
- 第1章 基础
- 1.1 理解安全
- 1.2 信任
- 1.2.1 信任感
- 1.2.2 比特不是肉眼可见的
- 1.2.3 能力与不足
- 1.2.4 信任是一个频谱
- 1.2.5 信任决策
- 1.3 经典原则
- 1.3.1 信息安全的CIA
- 1.3.2 黄金标准
- 1.3.3 隐私
- 第2章 威胁
- 2.1 对抗性视角
- 2.2 4个问题
- 2.3 威胁建模
- 2.3.1 从一个模型入手
- 2.3.2 判断资产
- 2.3.3 判断攻击面
- 2.3.4 判断信任边界
- 2.3.5 判断威胁
- 2.3.6 缓解威胁
- 2.4 隐私方面的考量因素
- 2.5 无处不在的威胁建模
- 第3章 缓解
- 3.1 解决威胁
- 3.2 结构性缓解策略
- 3.2.1 把攻击面减到最小
- 3.2.2 缩小漏洞窗口
- 3.2.3 把暴露的数据减到最少
- 3.3 访问策略与访问控制
- 3.4 接口
- 3.5 通信
- 3.6 存储
- 第4章 模式
- 4.1 设计属性
- 4.1.1 极简设计
- 4.1.2 透明设计
- 4.2 暴露最少信息
- 4.2.1 最小权限
- 4.2.2 最少信息
- 4.2.3 默认防御
- 4.2.4 放行列表与阻塞列表
- 4.2.5 避免可预测性
- 4.2.6 失效安全
- 4.3 强力执行
- 4.3.1 完全仲裁原则
- 4.3.2 最少共同机制
- 4.4 冗余
- 4.4.1 深度防御
- 4.4.2 权限分离
- 4.5 信任与责任
- 4.5.1 不盲目信任
- 4.5.2 接受安全责任
- 4.6 反模式
- 4.6.1 代理混淆问题
- 4.6.2 信任回流
- 4.6.3 第三方Hook
- 4.6.4 组件不可修补
- 第5章 密码学
- 5.1 加密工具
- 5.2 随机数
- 5.2.1 伪随机数
- 5.2.2 加密安全的伪随机数
- 5.3 消息摘要
- 5.3.1 使用MAC来防止篡改
- 5.3.2 重放攻击
- 5.3.3 安全MAC通信
- 5.4 对称加密
- 5.4.1 一次性填充
- 5.4.2 高级加密标准
- 5.4.3 使用对称加密
- 5.5 非对称加密
- 5.6 数字签名
- 5.7 数字证书
- 5.8 密钥交换
- 5.9 使用加密
- 第二部分 设计
- 第6章 安全设计
- 6.1 在设计中集成安全性
- 6.1.1 明确设计中的假定规则
- 6.1.2 定义范围
- 6.1.3 设置安全要求
- 6.1.4 威胁建模
- 6.2 建立缓解措施
- 6.2.1 设计接口
- 6.2.2 设计数据处理
- 6.3 将隐私融入设计
- 6.4 规划整个软件生命周期
- 6.5 权衡取舍
- 6.6 设计的简洁性
- 第7章 安全设计审查
- 7.1 SDR基本概念
- 7.1.1 为什么要执行SDR
- 7.1.2 什么时候执行SDR
- 7.1.3 文档是必不可少的
- 7.2 SDR流程
- 7.2.1 研究
- 7.2.2 询问
- 7.2.3 识别
- 7.2.4 合作
- 7.2.5 撰写
- 7.2.6 跟进
- 7.3 评估设计的安全性
- 7.3.1 以4个问题为指导
- 7.3.2 在哪里挖掘
- 7.3.3 隐私审查
- 7.3.4 审查更新
- 7.4 处理分歧
- 7.4.1 巧妙地沟通
- 7.4.2 案例研究:困难的审查
- 7.4.3 上报分歧
- 7.5 练习
- 第三部分 实施
- 第8章 安全地编程
- 8.1 挑战
- 8.1.1 恶意影响
- 8.1.2 漏洞是bug
- 8.1.3 漏洞链
- 8.1.4 bug和熵
- 8.1.5 警觉
- 8.2 案例研究:GotoFail
- 8.2.1 单行漏洞
- 8.2.2 当心footgun
- 8.2.3 GotoFail的教训
- 8.3 编码漏洞
- 8.3.1 原子性
- 8.3.2 时序攻击
- 8.3.3 序列化
- 8.4 非常嫌疑犯
- 第9章 低级编码缺陷
- 9.1 算术漏洞
- 9.1.1 定宽整数漏洞
- 9.1.2 浮点精度漏洞
- 9.1.3 示例:浮点下溢
- 9.1.4 示例:整数溢出
- 9.1.5 安全算术
- 9.2 内存访问漏洞
- 9.2.1 内存管理
- 9.2.2 缓冲区溢出
- 9.2.3 示例:内存分配漏洞
- 9.2.4 案例研究:Heartbleed漏洞
- 第10章 不受信任的输入
- 10.1 输入验证
- 10.1.1 确定有效性
- 10.1.2 验证标准
- 10.1.3 拒绝无效输入
- 10.1.4 纠正无效输入
- 10.2 字符串漏洞
- 10.2.1 长度问题
- 10.2.2 Unicode问题
- 10.3 注入攻击漏洞
- 10.3.1 SQL注入攻击
- 10.3.2 路径遍历
- 10.3.3 正则表达式
- 10.3.4 XML的危险
- 10.4 缓解注入攻击
- 第11章 Web安全
- 11.1 建立在框架之上
- 11.2 Web安全模型
- 11.2.1 HTTP
- 11.2.2 数字证书和HTTPS
- 11.2.3 同源策略
- 11.2.4 Web cookie
- 11.3 常见的Web漏洞
- 11.3.1 跨站脚本攻击
- 11.3.2 跨站请求伪造攻击
- 11.4 更多的漏洞和缓解措施
- 第12章 安全测试
- 12.1 什么是安全测试
- 12.1.1 整数溢出
- 12.1.2 内存管理问题
- 12.1.3 不可靠输入
- 12.1.4 Web安全
- 12.1.5 异常处理缺陷
- 12.2 对GotoFail漏洞执行安全测试
- 12.2.1 功能测试
- 12.2.2 包含漏洞的功能测试
- 12.2.3 安全测试用例
- 12.2.4 安全测试的限制
- 12.3 编写安全测试用例
- 12.3.1 测试输入验证
- 12.3.2 测试XSS漏洞
- 12.4 模糊测试
- 12.5 安全回归测试
- 12.6 可用性测试
- 12.6.1 资源消耗
- 12.6.2 阈值测试
- 12.6.3 分布式拒绝服务攻击
- 12.7 安全测试的最佳实践
- 12.7.1 测试驱动的开发
- 12.7.2 利用集成测试
- 12.7.3 追赶安全测试的进度
- 第13章 安全开发最佳实践
- 13.1 代码质量
- 13.1.1 代码清洁
- 13.1.2 异常和错误处理
- 13.1.3 记录安全性
- 13.1.4 安全代码审查
- 13.2 依赖关系
- 13.2.1 选择安全的组件
- 13.2.2 保护接口
- 13.2.3 不要做重复的工作
- 13.2.4 对抗传统安全
- 13.3 漏洞分类
- 13.3.1 DREAD评估
- 13.3.2 编写利用漏洞的有效代码
- 13.3.3 做出分类决策
- 13.4 维护一个安全的开发环境
- 13.4.1 开发和生产环境相分离
- 13.4.2 保护开发环境
- 13.4.3 发布产品
- 后记
- 附录A 设计文档示例
- 附录B 词汇表
- 附录C 练习
- 附录D 备忘单
展开全部
软件开发安全之道是2024年由人民邮电出版社出版,作者著。
温馨提示:
1.本电子书已获得正版授权,由出版社通过知传链发行。
2.该电子书为虚拟物品,付费之后概不接收任何理由退款。电子书内容仅支持在线阅读,不支持下载。
3.您在本站购买的阅读使用权仅限于您本人阅读使用,您不得/不能给任何第三方使用,由此造成的一切相关后果本平台保留向您追偿索赔的权利!版权所有,后果自负!
得书感谢您对《软件开发安全之道》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
电子书
电子书
本书梳理了作者多年来在网络安全前沿技术研究和关键系统设计中总结的经验与形成的观点。本书首先通过大量实例,解释威胁为何经常防不住;再将网络安全与其他学科类比,证明网络安全是一门科学,安全对抗中有制胜的理论基础;随后,从问题的角度出发,揭示安全之道是业务确定性而非威胁驱动,安全之法是OODA(观察—判断—决策—行动)循环而非防御,安全之术是韧性架构而非威胁防御体系;最后通过安全之用,介绍韧性方案的安全
电子书
本书从理论、技术和实践方面介绍了如何测试Web、移动应用和微信,并给出了大量测试案例。本书共5章,主要内容包括Web测试涉及的理论和技术、常用Web开发技术、高级Web开发技术、移动应用的测试,以及微信的测试。
电子书
本书讲解了使用Python、Selenium和Apium进行自动化测试的方法与技术。全书主要内容包括自动化测试、关键识别技术和常见控件的使用、移动端自动化测试实例和核心原理、自动化测试实战项目原型设计、接口测试、PythonRequests接口测试实战等。
电子书
本书共7章,凝聚了51Testing软件测试网在软件测试培训方面的精华内容。主要内容包括Linux系统入门知识、LinuxShell编程技术、Oracle和MySQL两大主流数据库的基本操作、配置管理工具SVN及Java和Python编程。
电子书
本书共5章,分别讲解了开源的Web自动化测试工具Selenium,基于Java的压力和接口测试工具JMeter,单元测试中的JUnit测试框架和JMock工具,用于移动端的自动化测试工具Appium,以及Appium测试框架的搭建。
电子书
本书共5章,主要讲述了如何设计测试用例,测试计划应该包含哪些内容,如何编写测试计划,如何设计测试用例,如何实现敏捷的项目管理。
电子书
1.黑马程序员的系列产品;2.凭借传智播客丰富的辅助教学资源,为一线教学老师提供简单、方便的教学辅助资源。3.本书配套教学视频、PPT、课后习题、教学设计、教学大纲等资源。
