读软件开发安全之道:概念、设计与实施17读后总结与感想兼导读

1. 基本信息

软件开发安全之道:概念、设计与实施

[美] 洛伦·科恩费尔德 (LorenKohnfelder)著

人民邮电出版社,2024年1月出版

1.1. 读薄率

书籍总字数349千字,笔记总字数58706字。

读薄率58706÷349000≈16.8%

1.2. 读厚方向

  1. 社会工程:安全体系中的人性漏洞

  2. 零信任安全架构设计与实现

  3. 红蓝攻防:构建实战化网络安全防御体系

  4. Wireshark数据包分析实战

  5. 数据安全架构设计与实战

1.3. 笔记--章节对应关系

笔记章节字数发布日期
2024年
读软件开发安全之道:概念、设计与实施01基础第1章 基础27678月17日
读软件开发安全之道:概念、设计与实施02经典原则第1章 基础47748月18日
读软件开发安全之道:概念、设计与实施03威胁第2章 威胁49778月20日
读软件开发安全之道:概念、设计与实施04缓解第3章 缓解40588月21日
读软件开发安全之道:概念、设计与实施05模式(上)第4章 模式32478月22日
读软件开发安全之道:概念、设计与实施06模式(下)第4章 模式35748月23日
读软件开发安全之道:概念、设计与实施07密码学(上)第5章 密码学23498月24日
读软件开发安全之道:概念、设计与实施08密码学(下)第5章 密码学30318月25日
读软件开发安全之道:概念、设计与实施09安全设计第6章 安全设计36398月26日
读软件开发安全之道:概念、设计与实施10安全设计审查第7章 安全设计审查35688月27日
读软件开发安全之道:概念、设计与实施11安全地编程第8章 安全地编程32898月28日
读软件开发安全之道:概念、设计与实施12不受信任的输入第10章 不受信任的输入37228月29日
读软件开发安全之道:概念、设计与实施13Web安全第11章 Web安全46038月30日
读软件开发安全之道:概念、设计与实施14低级编码缺陷第9章 低级编码缺陷25508月31日
读软件开发安全之道:概念、设计与实施15安全测试第12章 安全测试28549月2日
读软件开发安全之道:概念、设计与实施16安全开发最佳实践第13章 安全开发最佳实践
后记
57049月3日
$总计58706$

2. 亮点

2.1 安全,从设计开始

  • 越早进行安全设计,效果和影响越好
  • 早规划好过晚补丁

2.2 校验和检查是最基本的安全保障

  • 校验和检查能屏蔽掉大部分的安全漏洞
  • 是最基本的安全保障,往往越基础越基本,反而越不容易做好

2.3 漏洞链

  • 由一个一个微小的漏洞组成,最终演变为一个危害很大的漏洞

  • 古语有云:”千里之堤,溃于蚁穴“,“小洞不补,大洞吃苦”

  • 不要认为漏洞很微小,可修复也可以不修复而最终不修复


3. 感想

3.1 安全无小事

  • 发现安全问题,与其评估危险性和危害性,还不如索性修复

  • 若干的小问题排列组合后能形成一个大问题

3.2 难事必作于易,大事必作于细

  • 对输入进行校验和检查这是一件基本的小事

  • 但是,问题往往就出现在这个小事上

  • 由此可见,“难事必作于易,大事必作于细”之不易

3.3 好书,推荐阅读


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/416023.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

(5) 归并排序

归并排序 归并排序是一种分治策略的排序算法。它是一种比较特殊的排序算法,通过递归地先使每个子序列有序,再将两个有序的序列进行合并成一个有序的序列。 归并排序首先由著名的现代计算机之父 John_von_Neumann 在 1945 年发明,被用在了 E…

swf怎么转成mp4?swf转mp4,掌握这3招就够了!

在制作动画时,大家经常会用到SWF(Shockwave Flash)格式。不过有时候,为了让swf格式的软件在播放器上播放,就需要把swf转mp4格式,方便分享和播放了。今天我就来给大家介绍三个简单易行的方法,让你…

2.10鼠标事件

目录 实验原理 实验代码 运行结果 文章参考 实验原理 在 OpenCV 中存在鼠标的操作,比如左键单击、双击等。对于 OpenCV 来讲,用户的鼠标操作被认为发生了一个鼠标事件,需要对这个鼠标事件进行处理,这就是事件的响应。下面我们…

Windows配置域名映射IP

一、找到 hosts 文件 打开 C:\Windows\System32\drivers\etc 二、添加hosts文件修改、写入权限 右击hosts文件,点击属性 -> 安全 -> Users -> 编辑 -> Users -> 添加修改、写入权限 -> 确定 -> 确定 三、添加映射规则 在文件尾部添加一行映射…

LLM agentic模式之multi-agent: ChatDev,MetaGPT, AutoGen思路

文章目录 Multi-agentChatDev设计阶段编码阶段测试阶段文档编写 MetaGPTSOP模式下的Agent通信协议带执行反馈的迭代编程 AutoGenconversable agentsConversation ProgrammingAutoGen的应用 参考资料 Multi-agent ChatDev ChatDev出自2023年7月的论文《ChatDev: Communicative…

华为 HCIP-Datacom H12-821 题库 (7)

有需要题库的可以看主页置顶 V群仅进行学习交流 1.配置 VRRP 跟踪物理接口状态的命令是在华为设备上,以下哪一项是配置 VRRP 跟踪物理接口状态的命令? A、track vrrp vrid 1 interface GigabitEthernet0/0/0 B、vrrp vrid 1 track interface GigabitE…

RK3588 13.0去掉SystemUI快速设置选项

Android13.0的SystemUI下拉菜单有很多快速设置选项,有些选项对我们设备来说是多余的,用户要求去掉无用的选项,只保留Internet Bluetooth Screen record 去掉之前: 去掉之后: 为了去掉这些快速设置选项,试…

早上醒来嗓子干、喉咙痛、咳嗽……快用这个润养好物,给嗓子做个spa,让身体润起来~

进入秋季,很多人出现了眼睛干涩、大便干燥、嘴唇干裂、咽喉疼痛等症状,虽说这些还能够忍受,但它却影响了正常的饮食和休息。 秋季气候干燥,外界燥邪侵犯肺部,易伤津液,肺失滋润,清肃失司&#x…

HtmlSanitizer: 一个保护你的网站免受XSS攻击的.Net开源项目

Html跨站脚本攻击(XSS)是非常常见的,比如博客评论、论坛帖子、社交媒体发布动态等一些用户提交文本的地方,都有可能遭受恶意提交Html代码。 为了确保用户提交内容的安全,我们就需要对用户提交内容进行过滤。 01 项目…

基于TensorFlow框架的手写数字识别系统(代码+论文+开题报告等)

手写数字识别 需安装Python3.X 64bit相关版本、Tensorflow 1.x相关版本 IDE建议使用Pycharm 打开main.py,运行即可 1.4 研究方法 实验研究表明,若手写体数字没有限制,几乎可以肯定没有一劳永逸的方法能同时达到90%以上的识别率和较快的识别…

大模型备案重难点最详细说明【评估测试题+附件】

2024年3月1日,我国通过了《生成式人工智能服务安全基本要求》(以下简称《AIGC安全要求》),这是目前我国第一部有关AIGC服务安全性方面的技术性指导文件,对语料安全、模型安全、安全措施、词库/题库要求、安全评估等方面…

qmt量化交易策略小白学习笔记第59期【qmt编程之期权数据--获取指定期权品种的详细信息--原生Python】

qmt编程之获取期权数据 qmt更加详细的教程方法,会持续慢慢梳理。 也可找寻博主的历史文章,搜索关键词查看解决方案 ! 基于BS模型计算欧式期权理论价格 基于Black-Scholes-Merton模型,输入期权标的价格、期权行权价、无风险利率…

【技术分享】顶尖 GIS 技术

谈到 GIS,就不能不提到现代地理智能。是指基于 GIS、遥感和卫星定位技术的地理空间可视化、分析、决策、设计和控制的技术总称。地理智能是 GIS 区别于其他信息技术最重要的价值之一。它由地理可视化、地理决策、地理设计、地理控制四个层次组成。它们形成了一个地理…

ES6 day-03

目录 一. ES6 函数 1.1 函数参数的扩展 1.1.1 默认参数 1.1.2 不定参数 1.2 箭头函数 二. Iterator(迭代器) 三. ES6 Promise 对象(重点) 3.1 Promise前言 3.1.1 Promise概述 3.1.2 Promise 状态 3.1.3 then 方法 3.2 基本使用 3.2 promise结合数据请求 3.3 回调…

中国各省份-环境规制相关数据(2000-2022年)

环境规制,也称为环保政策和污染治理,是一系列由政府制定的旨在解决环境问题、保护生态环境和促进可持续发展的政策措施。这些措施包括法律法规、行政命令、经济激励和市场机制等,目的是约束和指导企业和个人行为,减少对环境的负面…

pikachu文件包含漏洞靶场通关攻略

本地文件包含 先上传一个jpg文件&#xff0c;内容写上<?php phpinfo();?> 上传成功并且知晓了文件的路径 返回本地上传&#xff0c;并../返回上级目录 可以看到我们的php语句已经生效 远程文件包含 在云服务器上创建一个php文件 然后打开pikachu的远程文件包含靶场&…

企业级RAG应用优化整合贴【上】:数据索引阶段的8个必知技巧 |建议收藏

基于大模型的RAG应用&#xff0c;一个普遍的认识是&#xff1a; 做原型很简单&#xff0c;投入生产很难 为什么我的RAG应用很难按预期工作&#xff1f;在之前的文章中我们曾经陆续的对RAG应用优化做过零星与局部的探讨&#xff0c;如融合检索、查询转换、多模态处理、Agentic…

link .css加载失败事件

https://andi.cn/page/621728.html 博客中的代码可以一键运行代码运行平台点击工具按钮可以查看console消息

【C++题解】1241 - 角谷猜想

问题二&#xff1a;1241 - 角谷猜想 类型&#xff1a;有规律的循环、递归。 题目描述&#xff1a; 日本一位中学生发现一个奇妙的定理&#xff0c;请角谷教授证明&#xff0c;而教授无能为力&#xff0c;于是产生了角谷猜想。 猜想的内容&#xff1a;任给一个自然数&#xff…

鸿蒙开发入门day16-拖拽事件和手势事件

(创作不易&#xff0c;感谢有你&#xff0c;你的支持&#xff0c;就是我前行的最大动力&#xff0c;如果看完对你有帮助&#xff0c;还请三连支持一波哇ヾ(&#xff20;^∇^&#xff20;)ノ&#xff09; 目录 拖拽事件 概述 拖拽流程 ​手势拖拽 ​鼠标拖拽 拖拽背板图 …