Application Security – The Complete Guide
应用安全 – 全面指南

Developing security in the Software Development Life Cycle (SDLC)
在软件开发生命周期（Software Development Lifecycle, SDLC）中构建安全

教程演示🔗

学生数量：27,857 个学生

上次更新时间：2023年9月

教程评分：4.3

教程语言：英语

教程字幕：中文、英语字幕

本课程包括：完整的永久访问权、隐藏式字幕、在移动设备和电视上观看、结业证书、8 小时 长的随选视频字幕

学习内容

1、了解如何成为应用安全的倡导者。
2、什么是OWASP十大威胁（OWASP Top 10）？如何防御这些漏洞？

OWASP Top 10 是Open Web Application Security Project（开放网络应用安全项目，OWASP）每年发布的一份重要报告，列出了当前Web应用程序中最常见的十大安全风险和威胁。这些威胁包括：

1. SQL注入 (SQL Injection)
2. Cross-Site Scripting (XSS)
3. Broken Authentication and Session Management
4. Insecure Deserialization
5. Cross-Site Request Forgery (CSRF)
6. Using Components with Known Vulnerabilities
7. Insufficient Input Validation
8. Sensitive Data Exposure
9. Insecure Direct Object References
10. Unvalidated Redirects and Forwards

要防御这些漏洞，可以采取以下措施：

1. 输入验证：对用户输入进行严格的验证和清理，避免恶意代码执行。
2. 使用参数化查询：防止SQL注入攻击。
3. 安全的身份验证和会话管理：确保用户身份验证的强度，并及时注销无活动会话。
4. 序列化和反序列化安全：避免使用不安全的序列化机制，处理来自不可信来源的数据。
5. 防止CSRF：在表单中添加令牌或使用HTTP-only cookie。
6. 更新组件和库：定期检查并更新软件，修复已知的安全漏洞。
7. 数据加密：敏感数据在存储和传输时应加密。
8. 控制数据暴露：限制不必要的数据公开，特别是对于API和外部接口。
9. 安全的资源访问：只允许授权用户访问特定资源。
10. 验证重定向和转发：确保所有重定向和转发都是经过验证和安全的。

持续的安全意识培训、实施安全策略和使用安全工具也是防御OWASP Top 10威胁的关键步骤。
3、使用威胁建模来识别开发特性的威胁并制定缓解措施。
4、如何为一个应用程序进行威胁建模？
5、如何对应用程序进行漏洞扫描？
6、使用标准和公开流程对安全漏洞进行评级。
7、如何修复代码中的常见安全漏洞。
8、如何将应用安全融入整体网络安全计划中
9、将安全融入软件开发生命周期。

要求

1、基础编程知识
2、理解IT系统以及软件如何在运营环境中部署

课程介绍

每个公司都依赖软件来运行。无论它们是《财富》500强的科技公司还是独资的园艺公司，软件都是大公司和小企业不可或缺的一部分。软件提供了一种跟踪员工、客户、库存和调度的方式。数据从各种系统、网络和软件中流动，为企业提供保持竞争力所需的洞察力。这些软件有的是内部构建的，有的是购买并集成的。这意味着无论规模和行业如何，每个组织都有软件需求，它帮助企业快速行动，领先竞争对手。

因此，我们更需要在开发安全软件方面提供帮助。这就是这门课程可以发挥作用的地方！

在这门课程中，你将了解像OWASP十大风险和SANS前25名威胁这样的出版物中列出的常见软件漏洞。你将理解导致漏洞的开发行为类型，并学习如何在创建安全代码时避免这些行为。你将学习如何对开发功能进行威胁建模，以理解可能影响你的代码的威胁来源、潜在影响以及如何减轻这些威胁。此外，你还将学习和操作可用于分析代码并发现漏洞的工具，以便在开发周期早期就进行纠正。最后，你将理解应用安全如何融入整体网络安全计划中。

探索如何通过这门课程提升企业软件安全，学习OWASP十大风险和SANS前25名威胁的防范策略。掌握开发安全代码技巧，进行威胁建模，利用工具早发现漏洞，融入整体网络安全，助力公司在竞争中保持领先地位。