1. 基本信息
软件开发安全之道:概念、设计与实施
[美] 洛伦·科恩费尔德 (LorenKohnfelder)著
人民邮电出版社,2024年1月出版
1.1. 读薄率
书籍总字数349千字,笔记总字数58706字。
读薄率58706÷349000≈16.8%
1.2. 读厚方向
-
社会工程:安全体系中的人性漏洞
-
零信任安全架构设计与实现
-
红蓝攻防:构建实战化网络安全防御体系
-
Wireshark数据包分析实战
-
数据安全架构设计与实战
1.3. 笔记--章节对应关系
| 笔记 | 章节 | 字数 | 发布日期 2024年 |
| 读软件开发安全之道:概念、设计与实施01基础 | 第1章 基础 | 2767 | 8月17日 |
| 读软件开发安全之道:概念、设计与实施02经典原则 | 第1章 基础 | 4774 | 8月18日 |
| 读软件开发安全之道:概念、设计与实施03威胁 | 第2章 威胁 | 4977 | 8月20日 |
| 读软件开发安全之道:概念、设计与实施04缓解 | 第3章 缓解 | 4058 | 8月21日 |
| 读软件开发安全之道:概念、设计与实施05模式(上) | 第4章 模式 | 3247 | 8月22日 |
| 读软件开发安全之道:概念、设计与实施06模式(下) | 第4章 模式 | 3574 | 8月23日 |
| 读软件开发安全之道:概念、设计与实施07密码学(上) | 第5章 密码学 | 2349 | 8月24日 |
| 读软件开发安全之道:概念、设计与实施08密码学(下) | 第5章 密码学 | 3031 | 8月25日 |
| 读软件开发安全之道:概念、设计与实施09安全设计 | 第6章 安全设计 | 3639 | 8月26日 |
| 读软件开发安全之道:概念、设计与实施10安全设计审查 | 第7章 安全设计审查 | 3568 | 8月27日 |
| 读软件开发安全之道:概念、设计与实施11安全地编程 | 第8章 安全地编程 | 3289 | 8月28日 |
| 读软件开发安全之道:概念、设计与实施12不受信任的输入 | 第10章 不受信任的输入 | 3722 | 8月29日 |
| 读软件开发安全之道:概念、设计与实施13Web安全 | 第11章 Web安全 | 4603 | 8月30日 |
| 读软件开发安全之道:概念、设计与实施14低级编码缺陷 | 第9章 低级编码缺陷 | 2550 | 8月31日 |
| 读软件开发安全之道:概念、设计与实施15安全测试 | 第12章 安全测试 | 2854 | 9月2日 |
| 读软件开发安全之道:概念、设计与实施16安全开发最佳实践 | 第13章 安全开发最佳实践 后记 | 5704 | 9月3日 |
| $ | 总计 | 58706 | $ |
2. 亮点
2.1 安全,从设计开始
- 越早进行安全设计,效果和影响越好
- 早规划好过晚补丁
2.2 校验和检查是最基本的安全保障
- 校验和检查能屏蔽掉大部分的安全漏洞
- 是最基本的安全保障,往往越基础越基本,反而越不容易做好
2.3 漏洞链
-
由一个一个微小的漏洞组成,最终演变为一个危害很大的漏洞
-
古语有云:”千里之堤,溃于蚁穴“,“小洞不补,大洞吃苦”
-
不要认为漏洞很微小,可修复也可以不修复而最终不修复
3. 感想
3.1 安全无小事
-
发现安全问题,与其评估危险性和危害性,还不如索性修复
-
若干的小问题排列组合后能形成一个大问题
3.2 难事必作于易,大事必作于细
-
对输入进行校验和检查这是一件基本的小事
-
但是,问题往往就出现在这个小事上
-
由此可见,“难事必作于易,大事必作于细”之不易
