maverick-hackz/appsec-handbook

# 应用安全手册 一份关于应用安全与安全软件开发生命周期（SDLC）的实用参考资料：涵盖安全编码、威胁建模、DevSecOps流水线、框架映射、架构模式、工具评估方法以及漏洞分析报告。 本仓库专注于AppSec的防御侧。攻击性的速查表、载荷和渗透测试工具位于另一个单独的仓库中： ## 内容 | 章节 | 用途 | | --- | --- | | [安全编码](secure-coding/) | 针对特定语言的安全指南，包含从不安全到安全的代码示例 | | [威胁建模](threat-modeling/) | STRIDE/PASTA/攻击树方法论、模板和实际案例 | | [安全SDLC](secure-sdlc/) | 需求、代码审查、安全关卡、漏洞披露策略（VDP）模板 | | [DevSecOps](devsecops/) | CI/CD安全模板、预提交钩子、自定义Semgrep规则、K8s策略 | | [框架](frameworks/) | ASVS、SAMM、NIST SSDF、OWASP Top 10 (Web/API/LLM/CI-CD)、CWE Top 25 | | [架构](architecture/) | 零信任、OAuth2/OIDC/SAML/mTLS、加密、密钥管理 | | [工具评估](tooling-evaluation/) | SAST/SCA/DAST/MAST/ASPM评估方法论 | | [漏洞报告](writeups/) | 经过脱敏的漏洞发现报告：发现 -> 影响 (CVSS 3.1) -> 复现 -> 修复 | | [参考资料](references/) | 阅读清单、标准、会议、术语表 | ## 目标读者 - 构建或评审安全SDLC项目的AppSec工程师 - 将安全集成到CI/CD中的开发人员 - 从事身份验证、加密、API安全工作的安全架构师 - 评估AppSec工程深度的招聘经理 ## 另见 - 攻击性速查表和渗透测试工具：[Workstation](https://github.com/maverick-hackz/Workstation) ## 许可证 [MIT](LICENSE)

标签：ASPM, ASVS, CI/CD安全, DAST, DevSecOps, GPT, JSONLines, Llama, MAST, mTLS, NIST, OAuth2, OIDC, PASTA, SAML, SAMM, SAST, Semgrep, STRIDE, TLS抓取, WordPress安全扫描, 上游代理, 加密, 反取证, 威胁建模, 子域名突变, 安全SDLC, 安全发现报告, 安全工程, 安全指南, 安全最佳实践, 安全架构, 安全编码, 安全评估, 工具评估, 开发安全, 恶意软件分析, 架构模式, 框架映射, 漏洞扫描器, 漏洞管理, 盲注攻击, 网络安全, 请求拦截, 软件安全, 逆向工具, 防御加固, 隐私保护, 零信任