nocomplexity/securitybydesign

GitHub: nocomplexity/securitybydesign

一本开源的Security by Design知识手册,以结构化框架帮助团队系统化地掌握安全设计的核心主题和实践方法。

Stars: 5 | Forks: 2

# README ## 🛡️ 精通安全设计 [![License: CC BY-SA 4.0](https://img.shields.io/badge/License-CC%20BY--SA%204.0-blue.svg)](https://creativecommons.org/licenses/by-sa/4.0/) [![PRs Welcome](https://img.shields.io/badge/PRs-welcome-brightgreen.svg)](http://makeapullrequest.com) [![Jupyter Book](https://img.shields.io/badge/Built%20with-Jupyter%20Book-blue)](https://jupyterbook.org/) [![PythonCodeAudit Badge](https://img.shields.io/badge/Python%20Code%20Audit-Security%20Verified-FF0000?style=flat-square)](https://github.com/nocomplexity/codeaudit) ## 这是什么? 安全设计是一个**结构化的框架**,而不是单一的活动或直线型的过程。它将混乱的安全工作组织成一个**连贯、可重复的系统** —— 就像一栋建筑需要地基、布线和管道协同工作一样。 ![安全设计框架](https://nocomplexity.github.io/securitybydesign/build/sbd_framework-3cd99d67f922c9a202842530536f7610.png) ## 为什么需要框架视角? | 谬误 | 现实 | |---------|---------| | “我们只需要做威胁建模” | 没有风险评估,你会得到一份未区分优先级的、包含所有可能攻击的列表。 | | “我们只需要购买一个监控工具” | 没有安全原则和策略,工具只会制造噪音,而不是带来安全。 | | “AI 会解决这个” | AI 缺乏上下文。人类的思考是不可替代的。 | ## 核心主题 掌握以下每个主题对于构建安全、有弹性和可信赖的系统是**不可妥协的**。 | 主题 | 为什么重要 | |-------|----------------| | **[什么是安全设计](basics.md)** | 定义核心理念:左移、嵌入控制、赋能而非阻碍。 | | **[预防](prevention/prevention_intro.md)** | 构建默认抵御攻击的系统 —— 减少攻击面,消除漏洞类别。 | | **[威胁建模](threatmodeling/threatmodeling_intro.md)** | 尽早识别威胁和攻击路径并确定优先级 —— 将安全从凭空猜测转变为一门工程科学。 | | **[安全监控](monitoring/monitoring_intro.md)** | 构建可观测的系统,实时发出异常信号 —— 检测异常,验证控制措施。 | | **[安全策略](policies/policies_intro.md)** | 创建清晰、可执行的访问、加密和风险规则 —— 设计在技术上强制执行策略的系统。 | | **[风险评估](riskassesment/ra_intro.md)** | 做出明智的权衡 —— 确定控制措施的优先级,使用商业领袖的语言进行沟通。 | | **[安全管理](securitymanagement/securitymanagement_intro.md)** | 将安全作为一项管理学科来运营 —— 治理、资源分配,从董事会到构建服务器。 | | **[安全原则](principles/principles_intro.md)** | 掌握永恒的法则:最小权限、纵深防御、失败安全 —— 当复杂性让你不知所措时的心理清单。 | | **[安全架构](securityarchitecture/architecture_intro.md)** | 应用模式、参考模型和审查 —— 通过组合进行安全设计,而非偶然实现。 | | **[安全 SDLC](ssdlc/ssdlc_intro.md)** | 集成威胁建模、静态分析、安全编码、测试 —— 让安全成为持续的合作伙伴,而不是一道关卡。 | | **[安全文化](culture/culture_intro.md)** | 培养报告事件的心理安全感 —— 奖励安全行为,从指责转向学习。 | | **[开源安全](foss/foss_intro.md)** | 审查、监控和维护依赖项 —— 将生态系统从负担转化为资产。 | | **[安全培训](training/training_intro.md)** | 确保每位工程师和所有者都具备基础知识 —— 培养内部安全 champion。 | ## 关于本课程 要真正精通**安全设计**,你必须超越过去。本课程为你提供了**框架、主题和以人为中心的方法**,以构建本质上安全、有弹性和可信赖的系统。 **准备好精通安全设计了吗?** 👉 [开始阅读完整书籍](https://nocomplexity.github.io/securitybydesign/) ## 许可证 本出版物为: (c) 2021-2026 [BM-Support.org](https://www.bm-support.org/) - Maikel & Asim 以及所有贡献者 本作品根据知识共享署名-相同方式共享 4.0 国际许可进行授权。第三方产品名称可能是其各自所有者的商标。 完整许可文本请见 http://creativecommons.org/licenses/by-sa/4.0/ 。 ### 使用和重复使用本文档 创建这份安全设计出版物是为了供您使用和改进! 如果您确实使用或重复使用了本 Playbook 的内容,我希望您能注明出处。 为此作品注明出处的最简单方法是在您的衍生出版物中包含以下行: ``` NoComplexity.com, [Security by Design ](https://nocomplexity.com/), licensed CC BY-SA 4.0. ``` 本出版物是真正的开放内容。我们相信,开放获取对于简化和改善网络安全是必不可少的。 我们坚信开放有助于[简化网络安全](https://nocomplexity.com/simplify-security/)。
标签:XML 请求, 威胁建模, 安全开发, 安全教育, 安全设计, 文档, 逆向工具, 防御加固