跳到甲方工作也差不多两年了，参与部分企业安全建设工作，主要工作还是渗透和开源平台的建设和维护使用

在这种“甲方”的工作体会就是

1. 公司不是很重视安全这块，网络安全法出台，明确要求企业要做等保测评，招个人做吧

2. 没有资源，要钱没有，要人没有，好在研发的小伙伴和运维小伙伴比较支持工作

两年里，搭建了很多开源的系统，在这里分类了一下， 如果有更好的 欢迎推荐

安装和使用可以去看官方文档

有基础的python和php知识，进行简单二次开发，还有就是调试软件，开源的很多莫名其妙的bug

研发能力强的团队，可以深入甲方企业安全，贴近业务，定制化去开发

Read More

1.概述

本指南是IT安全保障体系建设规范的一个组成部分，全面阐述了IT系统应用开发整个软件生命周期所必须遵照的设计、编码、测试方面的安全要求，阐述了不同开发环境和编码语言条件下安全开发的相关规范要求。

Read More

一、安全原则

1. 保护最薄弱的环节原则：保护最易受攻击影响的部分；
2. 纵深防御原则：不同层面、不同角度之间需要相互配合；
3. 最小权限原则：只授予执行操作所需的最小权限；
4. 最小共享原则：使共享文件资源尽可能少；
5. 权限分离原则：授予不同用户所需的最小权限，并在它们之间形成相互制约的关系；

Read More

转发自 https://github.com/mylamour/blog/issues/41

如何进行安全设计评审

记录一次安全设计评审的过程，当然这也是我第一次进行安全评审。因此做一个总结。安全设计评审应该是SDL落地安全人员参与过程中首当其冲的地方。仅指安全人员自身的功用。如果按照SDL流程来讲，最前期应该是进行安全培训。我们可以看两个微软SDL官方给出的流程图。

Read More

转发自 https://www.sdlchina.org.cn/2.sdl%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/SDL-1-%E5%AE%89%E5%85%A8%E8%AE%BE%E8%AE%A1Checklist/

输入验证

• 校验跨信任边界传递的不可信数据(策略检查数据合法性，含白名单机制等)格式化字符串时，依然要检验用户输入的合法性，避免可造成系统信息泄露或者拒绝服务

Read More