資安系列
安全不是一個獨立的領域,而是一個視角。當你用攻擊者的眼光看自己寫的系統,你會發現很多以前忽略的問題。
這個系列不是要把你訓練成資安專家,而是讓你具備足夠的安全意識,在日常開發中自然地考慮安全因素。
基礎觀念
| # | 主題 | 說明 |
|---|---|---|
| 01 | 資訊安全基礎概念 | CIA Triad、威脅模型、縱深防禦、安全思維的起點 |
| 02 | 紅隊與藍隊:攻防思維入門 | 紅隊(攻擊者思維)vs 藍隊(防禦者思維)、開發者能做的事 |
實務應用
| # | 主題 | 說明 |
|---|---|---|
| 03 | Web 安全實務(上) | XSS / SQL Injection / CSRF 的原理與防禦 |
| 03-2 | Web 安全實務(下) | SSRF / CORS / 安全 Headers |
| 04 | 安全開發生命週期(上) | 威脅模型、安全設計原則、安全編碼規範 |
| 04-2 | 安全開發生命週期(下) | SAST / DAST / DevSecOps / 最小可行 SDL |
閱讀建議
- 所有工程師:從 01 開始,建立基本的安全心智模型。03 是日常開發最直接相關的。
- 想深入資安:02 紅藍隊入門會告訴你學習路徑和入門方向。
- Tech Lead / 架構師:04 SDL 幫你思考怎麼在團隊流程中內建安全檢查。
- 搭配閱讀:IT 角色演進 — 理解安全角色在組織中的定位。
進階路線
從入門到進階的實作路徑。每一級做一個專案,做完才升級。
Level 1: OWASP Top 10 — XSS、SQL Injection、CSRF 基礎
用 DVWA 或 Juice Shop 練習攻擊與防禦,理解 OWASP Top 10 每一項的原理。 相關文章:Web 安全實務(上)
Level 2: 認證與授權 — JWT、OAuth、RBAC
實作一個安全的登入系統(JWT + RBAC),練 token 管理、權限設計、session 安全。 相關文章:資訊安全基礎概念、微服務安全:mTLS vs JWT
Level 3: HTTPS + 安全 Headers — CSP、HSTS、CORS
為你的專案加上完整的安全 Headers,練 CSP 策略、HSTS、CORS 設定。 相關文章:Web 安全實務(下)
Level 4: 安全掃描自動化 — SAST、DAST、dependency audit
在 CI/CD 中加入安全掃描(SAST + DAST + 依賴檢查),練自動化安全測試。 相關文章:安全開發生命週期(下)
Level 5: DevSecOps — security in CI/CD、threat modeling
建立完整的 DevSecOps 流程,練威脅建模、安全需求分析、安全文化推廣。 相關文章:安全開發生命週期(上)、紅隊與藍隊