SecurityPaper

安全开发生命周期(SDL)知识库。面向开发团队和安全工程师的实践指南。

安全开发生命周期(Security Development Lifecycle)的定义、历史和核心阶段。从Microsoft SDL到OWASP SAMM，了解SDL的演变和现代实践。

如何在开发团队中实施SDL。从组织准备到工具选择，从CI/CD集成到度量和评估的完整指南。

系统安全设计检查清单。涵盖认证、授权、输入验证、加密、错误处理、日志记录和会话管理。

语言无关的安全编码原则。输入验证、输出编码、最小权限原则、纵深防御和安全失败。

Java特定的安全编码规则。SQL注入防护、XSS预防、反序列化安全、加密API使用和文件I/O安全。

STRIDE方法论、攻击树、数据流图和微服务架构的实用威胁建模技术。

安全代码审计方法。人工审计技术、SAST工具对比(Semgrep, CodeQL, Checkmarx)和常见漏洞模式。

关于本项目

SecurityPaper是一个开放的安全知识库，专注于SDL和安全软件开发。内容以中文为主，技术术语保留英文原文。欢迎安全研究人员和开发工程师参考使用。