izaurogabriel-hash/seguranca

# 网络安全参考文档 精心策划的葡萄牙语网络安全**权威参考**库，旨在实现快速查阅与框架间的交叉引用。包含 9 个主题分类下的 **213 个文件** + 5 个主决策指南。 ## 目标读者 - 需要查阅 CWE/CVE/CAPEC 但又不想阅读 800 页 MITRE 文档的软件工程师 - 希望直接映射 OWASP、ISO 27001、NIST CSF 和 CIS Controls 的 AppSec / SecOps 团队 - 需要对比 PCI DSS、ISO 27001 和 NIST 800-53 要求的审计师和 GRC 专业人员 - 正在备考认证考试的人员（CISSP、CEH、OSCP、GCIH、GCIA、GIAC 系列） - 威胁狩猎人员、应急响应专家和 SOC 分析师 ## 如何导航 | 我想要... | 请从以下开始 | |---|---| | 完整的库地图 | [`_INDEX.md`](_INDEX.md) | | 框架间的交叉参考 | [`_CROSS_REFERENCE.md`](_CROSS_REFERENCE.md) | | 决定使用哪个框架 | [`_MASTER_REFERENCES/FRAMEWORK_SELECTION_GUIDE.md`](_MASTER_REFERENCES/FRAMEWORK_SELECTION_GUIDE.md) | | CVE → CWE → CAPEC → ATT&CK 链条 | [`_MASTER_REFERENCES/CVE_TO_CWE_TO_CAPEC_TO_ATTCK.md`](_MASTER_REFERENCES/CVE_TO_CWE_TO_CAPEC_TO_ATTCK.md) | | 对比 ISO 27001 vs PCI vs NIST vs CIS | [`_MASTER_REFERENCES/COMPLIANCE_MATRIX.md`](_MASTER_REFERENCES/COMPLIANCE_MATRIX.md) | | 按应急响应(IR)阶段划分的框架 | [`_MASTER_REFERENCES/INCIDENT_RESPONSE_MAPPING.md`](_MASTER_REFERENCES/INCIDENT_RESPONSE_MAPPING.md) | | STRIDE + CAPEC + ATT&CK + MISP 集成 | [`_MASTER_REFERENCES/THREAT_MODELING_GUIDE.md`](_MASTER_REFERENCES/THREAT_MODELING_GUIDE.md) | ## 结构 | # | 类别 | 文件数 | 涵盖内容 | |---|---|---:|---| | 01 | [漏洞数据库](01_vulnerability_databases/) | 33 | CVE, NVD, CWE, CAPEC, CISA KEV, CERT/CC, Exploit-DB, GitHub Advisory, OSV, Flashpoint VulnDB, Rapid7, VulDB | | 02 | [攻击框架](02_attack_frameworks/) | 18 | MITRE ATT&CK (14 项详细战术), ATLAS, D3FEND, Engage | | 03 | [防御框架](03_defense_frameworks/) | 60 | NIST SP 800-53 (20 个系列), NIST CSF 2.0, ISO 27001:2022, CIS Controls v8, PCI DSS v4.0, NIST SP 800-63, NIST SSDF, CSA CCM | | 04 | [应用安全框架](04_appsec_frameworks/) | 36 | OWASP Top 10 Web 2021, API Security 2023, ASVS 4.0, SAMM 2.0, Testing Guide v4, BSIMM, Microsoft SDL | | 05 | [威胁情报](05_threat_intelligence/) | 14 | STIX/TAXII, OpenCTI, AlienVault OTX, GreyNoise, VirusTotal | | 06 | [安全工具](06_security_tools/) | 7 | Shodan, Qualys SSL Labs | | 07 | [培训与认证](07_training_certifications/) | 2 | SANS/GIAC, SANS Internet Storm Center / DShield | | 08 | [漏洞情报平台](08_vuln_intel_platforms/) | 开发中 | FIRST EPSS, Snyk, VulnCheck | | 09 | [漏洞悬赏](09_bug_bounty/) | 2 | Bugcrowd, HackerOne | | — | [_MASTER_REFERENCES](_MASTER_REFERENCES/) | 5 | 决策指南和交叉矩阵 | **当前总计：213 个文件。** ## 每个文件的结构方式 每个文档引用了框架/数据库（RFC、规范、白皮书、官方网站）的**官方权威内容**，包含： - 葡萄牙语 (pt-BR) 概述 - 结构/分类体系/类别 - 何时应用 - 如何与其他框架集成（交叉参考） - 适用时提供官方出处的出口链接 **理念：** 浓缩而不失真。如果某个概念在原始出处中存在歧义，它在此处依然保持歧义。我们不捏造分类或进行主观推断。 ## 典型用例 ### “我要审计一个 Web 应用程序——该从何下手？” 1. [OWASP ASVS 4.0](04_appsec_frameworks/owasp/asvs_4.0/) 用于需求基线 2. [OWASP Testing Guide v4](04_appsec_frameworks/owasp/testing_guide_v4/) 用于方法论 3. [OWASP Top 10 Web 2021](04_appsec_frameworks/owasp/top10_web_2021/) 和 [API Top 10 2023](04_appsec_frameworks/owasp/api_security_2023/) 用于最常见漏洞 4. [CWE Top 25](01_vulnerability_databases/cwe/) 用于寻找弱点 5. 映射 → [CAPEC](01_vulnerability_databases/capec/) → [ATT&CK](02_attack_frameworks/mitre_attck/) 用于攻击视角 ### “我需要在 ISO 27001 和 SOC 2 之间做出选择” [`_MASTER_REFERENCES/COMPLIANCE_MATRIX.md`](_MASTER_REFERENCES/COMPLIANCE_MATRIX.md) 进行了逐条对比。 ### “我正在从零开始构建一个 SOC” 1. [NIST CSF 2.0 — DETECT_FUNCTION](03_defense_frameworks/nist_csf_2/DETECT_FUNCTION.md) 用于框架 2. [STIX/TAXII](05_threat_intelligence/stix_taxii/) 用于威胁情报摄取 3. [MITRE ATT&CK + Navigator](02_attack_frameworks/mitre_attck/) 用于映射检测覆盖率 4. [MITRE D3FEND](02_attack_frameworks/mitre_d3fend/) 用于映射对策 5. [INCIDENT_RESPONSE_MAPPING](_MASTER_REFERENCES/INCIDENT_RESPONSE_MAPPING.md) 用于 IR 流程 ### “我收到了一个严重级别 CVE —— 如何排定优先级？” [CVSS v4.0](01_vulnerability_databases/cve_nvd/CVSS_V4_COMPLETE.md) + [CISA KEV](01_vulnerability_databases/cisa_kev/) + EPSS (开发中) —— 三个正交指标（严重性、主动利用情况、概率）。 ### “我要为新功能建模威胁” [`_MASTER_REFERENCES/THREAT_MODELING_GUIDE.md`](_MASTER_REFERENCES/THREAT_MODELING_GUIDE.md) 将 STRIDE + CAPEC + ATT&CK + MISP 整合到一个单一流程中。 ## 与 `/cyberseguranca` skill 的关系 本仓库是**权威参考层**（存在什么、定义、结构）。[`/cyberseguranca`](https://github.com/izaurogabriel-hash/cyberseguranca) skill 是**操作层**（如何应用、具体的威胁模型、现成的代码、IR playbook）。 结合两者使用： - 当你需要**精准参考**时使用本库（“ISO 27001:2022 的 A.5.7 控制是怎么说的？”） - 当你需要**执行操作**时使用该 skill（“现在审计这个 Cloudflare+Supabase 项目”） ## 诚实的局限性 - **不能替代官方来源。** 对于正式审计、认证或诉讼，请查阅原始文档（NIST、ISO、MITRE、OWASP 等）。 - **刻意策划的覆盖范围。** 我们不试图覆盖每个框架的 100%——我们只关注实践中最常用的部分。 - **08 类别仍在开发中。** - **源框架的更新可能会导致本内容出现偏差。** 当内容至关重要时，请检查官方发布的日期。 ## 约定 - 按领域划分的概述文件：`README.md` 或 `README_*.md` - 按组件划分的文件：组件名称采用 `UPPER_SNAKE_CASE.md` - 跨框架映射：`MAPPING_*.md` 或位于 `_MASTER_REFERENCES/` 中 - 内容使用 pt-BR；当控制项/标准的官方名称为英文时，保留英文名称（例如：`A01 Broken Access Control`） ## 贡献 欢迎提交 Issue 和 PR 用于： - 附带权威来源引用的事实更正 - 框架发布新版本时的更新（例如：OWASP Top 10 2025） - 新的跨框架映射 - 充实 08 类别的内容（FIRST EPSS, Snyk, VulnCheck） 请保持标准：每一项技术声明都必须能够追溯到官方来源。 ## 许可证 [MIT](LICENSE) —— 可自由使用、修改和重新分发。标准/框架的事实性内容遵循其各自源项目的许可证（MITRE ATT&CK 为 CC BY 4.0，OWASP 为 CC BY-SA 4.0，NIST 属于公共领域等 —— 在重新分发特定部分之前请进行核实）。

标签：AppSec, ATLAS, CAPEC, CEH, CIS Controls v8, CISSP, Cloudflare, CSP, CVE, CVSS, D3FEND, GRC, ISO 27001:2022, MITRE ATT&CK, NIST CSF, NIST SP 800-53, OSCP, PCI DSS v4.0, Ruby, SecOps, SOC分析师, SSDF, STIX, STRIDE, TAXII, 云安全架构, 合规, 威胁建模, 威胁情报, 安全事件响应, 安全参考, 安全工程师, 安全标准, 巴西葡萄牙语, 开发者工具, 攻击框架, 数字签名, 文档库, 知识库, 网络安全, 网络安全研究, 防御加固, 防御矩阵, 隐私保护