1
00:00:00,960 --> 00:00:05,120
软件开发方法论


2
00:00:06,560 --> 00:00:12,080
方法是一种行动，一种做某事的方式


3
00:00:13,599 --> 00:00:17,359
方法论是一组结构化的方法


4
00:00:17,359 --> 00:00:24,560
用于实现特定目标的实践过程和程序


5
00:00:24,640 --> 00:00:27,920
软件开发方法论是方法


6
00:00:27,920 --> 00:00:31,840
由哪个软件生产


7
00:00:33,680 --> 00:00:41,200
软件开发方法论是构建和修复的绝妙方法


8
00:00:41,200 --> 00:00:49,120
增量法螺旋法洁净室联合应用开发


9
00:00:49,120 --> 00:00:54,719
快速应用程序开发和敏捷


10
00:00:57,199 --> 00:01:03,039
构建和修复模型软件开发人员创建程序的第一个版本


11
00:01:03,039 --> 00:01:06,799
建立并基于客户的需求


12
00:01:06,799 --> 00:01:14,320
反复修改软件，直到让客户满意为止


13
00:01:14,799 --> 00:01:21,280
瀑布法是一个顺序设计过程，其中进度是


14
00:01:21,280 --> 00:01:27,119
像瀑布一样向下穿过需求设计的面


15
00:01:27,119 --> 00:01:33,920
实施测试部署和维护


16
00:01:35,600 --> 00:01:40,400
增量模型是一种软件开发方法


17
00:01:40,400 --> 00:01:44,320
产品设计在哪里实施


18
00:01:44,320 --> 00:01:52,159
并测试每次增量添加，直到产品完成


19
00:01:52,159 --> 00:01:56,880
螺旋方法是渐进式软件开发的模型


20
00:01:56,880 --> 00:02:04,000
反复经历规划风险分析的各个阶段


21
00:02:04,000 --> 00:02:11,760
洁净室模型的工程和评估基于


22
00:02:11,760 --> 00:02:17,599
生产具有可认证可靠性水平的软件


23
00:02:17,599 --> 00:02:26,080
通过避免软件缺陷，联合应用程序开发是一种


24
00:02:26,080 --> 00:02:30,480
涉及客户或最终用户的方法


25
00:02:30,480 --> 00:02:36,959
在应用程序的设计和开发中


26
00:02:36,959 --> 00:02:42,080
原型方法论被定义为一种软件开发模型


27
00:02:42,080 --> 00:02:48,400
其中原型被构建测试，然后在需要时返工，直到


28
00:02:48,400 --> 00:02:52,640
获得可接受的原型


29
00:02:53,040 --> 00:02:57,760
快速行动开发是一种软件开发方法


30
00:02:57,760 --> 00:03:04,159
使用最少的计划来支持快速原型制作


31
00:03:04,159 --> 00:03:10,319
敏捷方法论是一种促进持续迭代的实践


32
00:03:10,319 --> 00:03:14,080
整个软件的开发和测试


33
00:03:14,080 --> 00:03:19,840
项目的开发生命周期


34
00:03:22,239 --> 00:03:28,879
敏捷方法论实践是动态系统开发方法


35
00:03:28,879 --> 00:03:35,920
Scrum 极限编程测试驱动开发精益软件


36
00:03:35,920 --> 00:03:40,879
开发和最小可行产品


37
00:03:40,879 --> 00:03:46,239
动态系统开发方法是一个框架，它由


38
00:03:46,239 --> 00:03:53,920
生命周期和产品角色和职责的 8 条原则


39
00:03:53,920 --> 00:04:01,840
最佳实践技术


40
00:04:02,400 --> 00:04:08,480
Scrum 是一个框架，人们可以在其中解决复杂的适应性问题


41
00:04:08,480 --> 00:04:12,239
在富有成效和创造性的同时解决问题


42
00:04:12,239 --> 00:04:17,439
提供尽可能高价值的产品


43
00:04:17,759 --> 00:04:23,040
极限编程是一种敏捷的软件开发框架


44
00:04:23,040 --> 00:04:26,400
旨在生产更高质量的软件


45
00:04:26,400 --> 00:04:29,600
和更高的生活质量促进发展


46
00:04:29,600 --> 00:04:31,840
团队


47
00:04:34,080 --> 00:04:38,240
测试驱动开发是一个软件开发过程


48
00:04:38,240 --> 00:04:42,320
代码级测试指导软件设计的地方


49
00:04:42,320 --> 00:04:46,800
和实现它是基于重复


50
00:04:46,800 --> 00:04:53,840
极短的开发周期写一个测试运行测试写


51
00:04:53,840 --> 00:05:00,800
运行测试直到它通过重构然后重复


52
00:05:02,400 --> 00:05:06,000
精益软件开发是一个敏捷框架


53
00:05:06,000 --> 00:05:10,320
基于优化开发时间和资源


54
00:05:10,320 --> 00:05:13,919
消除浪费并最终交付


55
00:05:13,919 --> 00:05:17,919
只有产品需要


56
00:05:19,199 --> 00:05:24,000
最小可行产品是一种产品和开发风格


57
00:05:24,000 --> 00:05:27,440
产生足够的特征来满足


58
00:05:27,440 --> 00:05:31,520
早期客户，足以提供反馈


59
00:05:31,520 --> 00:05:36,160
指导未来的产品开发


60
00:05:36,720 --> 00:05:39,840
成熟度模型


61
00:05:42,240 --> 00:05:47,440
成熟度模型是过程改进的工具


62
00:05:48,080 --> 00:05:52,000
成熟度模型显示了一个组织或


63
00:05:52,000 --> 00:05:57,280
系统是实现持续改进


64
00:05:57,360 --> 00:06:01,600
成熟度模型为展望未来提供框架


65
00:06:01,600 --> 00:06:07,840
期望的状态和改进计划的制定


66
00:06:07,919 --> 00:06:12,560
成熟度模型为组织提供比较基准


67
00:06:12,560 --> 00:06:17,120
其内部或外部过程


68
00:06:17,199 --> 00:06:22,160
成熟度模型提供机制以洞察改进


69
00:06:22,160 --> 00:06:27,120
从不成熟到成熟的过程


70
00:06:27,680 --> 00:06:31,520
成熟度模型提供了易于理解的规范方法


71
00:06:31,520 --> 00:06:35,840
管理理解和执行


72
00:06:36,160 --> 00:06:41,680
能力成熟度模型集成是一个过程级改进程序


73
00:06:41,680 --> 00:06:45,759
旨在整合评估和流程改进


74
00:06:45,759 --> 00:06:50,800
单独组织职能的指导方针


75
00:06:51,120 --> 00:06:56,400
cmmi 开发描述了开发的最佳实践和


76
00:06:56,400 --> 00:07:03,840
在整个生命周期内维护产品和服务


77
00:07:04,160 --> 00:07:10,479
cmmi 服务是一套全面的指导方针，可帮助组织


78
00:07:10,479 --> 00:07:14,840
建立和改进交付流程


79
00:07:14,840 --> 00:07:19,840
用于获取的服务 cmmi 描述最好


80
00:07:19,840 --> 00:07:26,400
成功获得产品和服务的实践


81
00:07:26,400 --> 00:07:31,680
人员能力成熟度模型具有关键能力和最佳实践


82
00:07:31,680 --> 00:07:35,199
改善人员管理


83
00:07:36,479 --> 00:07:40,720
能力成熟度模型集成成熟度级别是


84
00:07:40,720 --> 00:07:48,400
初始管理 定义 定性 管理和优化


85
00:07:48,400 --> 00:07:54,720
初始也称为成熟度级别 1，描述了一个组织，其流程


86
00:07:54,720 --> 00:07:58,319
是临时的或混乱的


87
00:07:58,319 --> 00:08:02,000
管理或材料级别 2 表示


88
00:08:02,000 --> 00:08:05,360
计划和执行此级别的流程


89
00:08:05,360 --> 00:08:10,560
根据组织政策，管理层对


90
00:08:10,560 --> 00:08:14,639
词产品和定义点


91
00:08:15,120 --> 00:08:20,400
已定义或成熟度级别 3 与在


92
00:08:20,400 --> 00:08:25,120
标准程序和方法


93
00:08:25,280 --> 00:08:28,720
质量管理或成熟度级别 4


94
00:08:28,720 --> 00:08:32,800
是当组织使用量化目标时


95
00:08:32,800 --> 00:08:39,120
将质量和过程性能作为项目管理标准


96
00:08:39,120 --> 00:08:43,599
优化我们的成熟度 5 级强调持续


97
00:08:43,599 --> 00:08:47,519
通过定性和统计方法改进


98
00:08:47,519 --> 00:08:52,880
以及响应不断变化的业务需求和技术


99
00:08:52,880 --> 00:08:56,560
在成熟度模型中构建安全性是描述性的


100
00:08:56,560 --> 00:09:02,320
基于实际软件安全的软件安全聚焦成熟度模型


101
00:09:02,320 --> 00:09:05,040
倡议


102
00:09:05,200 --> 00:09:09,200
软件保证成熟度模型是一个框架


103
00:09:09,200 --> 00:09:12,959
帮助组织制定和实施


104
00:09:12,959 --> 00:09:20,839
针对特定风险量身定制的安全软件策略


105
00:09:20,839 --> 00:09:23,839
组织


106
00:09:24,640 --> 00:09:30,320
软件开发生命周期运维


107
00:09:30,800 --> 00:09:35,600
软件开发生命周期中的运维阶段


108
00:09:35,600 --> 00:09:39,200
是开始的结束


109
00:09:40,560 --> 00:09:46,080
运营问题需要运营解决方案


110
00:09:46,800 --> 00:09:50,720
运营解决方案侧重于控制访问


111
00:09:50,720 --> 00:09:54,720
输入和可变性


112
00:09:55,519 --> 00:09:59,279
软件及其环境的可见性


113
00:09:59,279 --> 00:10:08,079
是控制日志记录和监控的重要组成部分，对于


114
00:10:08,079 --> 00:10:11,519
运营信息


115
00:10:12,560 --> 00:10:16,839
维护功能是自然的一部分


116
00:10:16,839 --> 00:10:22,320
运维错误修复升级


117
00:10:22,320 --> 00:10:25,200
增强


118
00:10:29,279 --> 00:10:35,120
由于一些未尝过的场景而报告错误修复错误


119
00:10:35,120 --> 00:10:37,519
根本


120
00:10:41,920 --> 00:10:48,399
增强功能 在现有软件中添加一些新功能


121
00:10:48,880 --> 00:10:51,920
更换管理层


122
00:10:54,079 --> 00:10:58,079
更改是添加修改或删除


123
00:10:58,079 --> 00:11:01,600
任何可能产生直接或间接影响的东西


124
00:11:01,600 --> 00:11:04,399
关于服务


125
00:11:05,200 --> 00:11:08,320
变更管理是正式的业务流程


126
00:11:08,320 --> 00:11:12,720
确保所有更改都必须


127
00:11:12,839 --> 00:11:18,399
受控识别和表征需要


128
00:11:18,399 --> 00:11:22,959
变更提出正式变更请求


129
00:11:22,959 --> 00:11:27,360
提交变更请求的票证


130
00:11:27,360 --> 00:11:31,279
与变更请求一样批准变更


131
00:11:31,279 --> 00:11:37,519
和相关的开发活动在一个


132
00:11:37,519 --> 00:11:42,240
重复代码更改和测试的例行程序，直到


133
00:11:42,240 --> 00:11:47,120
变更要求充分完成


134
00:11:47,360 --> 00:11:54,000
qa 测试并验证更改是否足够


135
00:11:54,000 --> 00:11:57,279
将代码提升到下一个开发阶段


136
00:11:57,279 --> 00:12:05,680
这可能是生产报告变更给管理层供他们审查


137
00:12:07,440 --> 00:12:12,160
授权更改的个人或团体称为更改


138
00:12:12,160 --> 00:12:14,880
权威


139
00:12:16,560 --> 00:12:22,399
变化是标准的正常和紧急情况


140
00:12:22,720 --> 00:12:27,680
标准更改已预先授权并实施，无需额外


141
00:12:27,680 --> 00:12:32,959
授权例如 os upgrade 部署补丁


142
00:12:32,959 --> 00:12:42,000
设置用户帐户正常的更改是基于授权的


143
00:12:42,000 --> 00:12:49,360
和低风险紧急变更是必须实施的变更


144
00:12:49,360 --> 00:12:54,000
尽快例如解决事件或


145
00:12:54,000 --> 00:12:57,760
实施安全补丁


146
00:13:00,800 --> 00:13:08,440
集成产品团队 集成产品团队是一个


147
00:13:08,440 --> 00:13:12,320
来自不同学科的多才多艺的人


148
00:13:12,320 --> 00:13:16,720
负责交付产品


149
00:13:17,120 --> 00:13:24,160
集成的产品团队确保所有必需的角色技能知识


150
00:13:24,160 --> 00:13:29,680
和个人资源可用于进行产品开发或软件


151
00:13:29,680 --> 00:13:35,839
开发更高效更有效


152
00:13:49,120 --> 00:13:54,560
每个专业都带来了独特的重点投入和决策


153
00:13:54,560 --> 00:14:00,240
软件开发过程集成产品团队来自


154
00:14:00,240 --> 00:14:05,120
集成产品和工艺开发


155
00:14:05,680 --> 00:14:09,680
集成的产品和过程开发是一种管理技术


156
00:14:09,680 --> 00:14:12,480
来自行业的改进


157
00:14:12,480 --> 00:14:17,199
竞争力和客户满意度


158
00:14:17,199 --> 00:14:23,120
集成的产品和过程开发是由


159
00:14:24,240 --> 00:14:27,519
集成的产品和工艺开发


160
00:14:27,519 --> 00:14:30,560
集成软件开发活动


161
00:14:30,560 --> 00:14:34,639
从需求收集和分析到支持


162
00:14:34,639 --> 00:14:37,760
优化整体软件开发


163
00:14:37,760 --> 00:14:40,160
过程


164
00:14:41,279 --> 00:14:44,720
集成的产品和工艺开发提供


165
00:14:44,720 --> 00:14:49,600
洞察其目的和实践


166
00:14:49,839 --> 00:14:52,959
以客户为中心


167
00:14:55,519 --> 00:15:00,959
产品和工艺的并行开发


168
00:15:02,639 --> 00:15:07,279
早期和持续的生命周期规划


169
00:15:08,480 --> 00:15:12,160
最大化优化的灵活性和


170
00:15:12,160 --> 00:15:16,560
使用承包商独特的方法


171
00:15:18,079 --> 00:15:24,160
鼓励稳健的设计和改进的过程能力


172
00:15:24,639 --> 00:15:28,639
事件驱动调度


173
00:15:29,880 --> 00:15:33,759
多学科团队合作


174
00:15:34,320 --> 00:15:37,199
赋权


175
00:15:39,360 --> 00:15:43,279
无缝管理工具


176
00:15:44,560 --> 00:15:50,399
主动识别和管理风险


177
00:15:51,440 --> 00:15:55,199
敏捷团队是集成产品的一种形式


178
00:15:55,199 --> 00:16:03,440
团队清晰有效的沟通是敏捷方法论的基石


179
00:16:03,440 --> 00:16:10,639
和开发概念技术和思想被整合在


180
00:16:13,120 --> 00:16:17,040
敏捷管理和沟通模式


181
00:16:17,040 --> 00:16:23,519
将他们与组织中的其他团队专业知识和实体联系起来


182
00:16:23,519 --> 00:16:27,839
必要的信息流和对这些资源的访问


183
00:16:27,839 --> 00:16:30,480
如所须


184
00:16:31,839 --> 00:16:37,680
敏捷自动化快速开发和频繁交付工作


185
00:16:37,680 --> 00:16:41,680
软件新的工作方式出现了


186
00:16:41,680 --> 00:16:46,399
学科与技术的融合已为人所知


187
00:16:46,399 --> 00:16:52,800
随着 devops devops 打破了两者之间的壁垒


188
00:16:52,800 --> 00:16:56,800
开发人员和运营


189
00:16:58,079 --> 00:17:05,600
devops 支持持续集成和持续部署


190
00:17:05,600 --> 00:17:19,839
devops 加速软件交付并提高软件质量和安全性


191
00:17:21,280 --> 00:17:24,799
devsecops 担任 devops 角色自动化


192
00:17:24,799 --> 00:17:30,720
基础设施和工作流以及构建和安全技术以及持续的


193
00:17:30,720 --> 00:17:35,440
注意安全缺陷


194
00:17:35,440 --> 00:17:41,520
提供了一组值，其中包括对什么的出色总结理解


195
00:17:41,520 --> 00:17:44,000
驱动器


196
00:17:44,840 --> 00:17:49,039
困难的 devsecop 的价值观正在学习


197
00:17:49,039 --> 00:17:55,760
在数据和安全标志开放贡献和合作


198
00:17:55,760 --> 00:18:04,000
具有 aapis 业务驱动安全评分的消耗性安全服务


199
00:18:04,000 --> 00:18:13,440
红蓝团队漏洞利用测试 24 7 主动安全监控


200
00:18:13,440 --> 00:18:20,400
共享威胁情报和合规操作


201
00:18:22,080 --> 00:18:26,400
编程语言安全


202
00:18:27,520 --> 00:18:31,120
语言一直是我们主要的交流方式


203
00:18:31,120 --> 00:18:36,080
以及数千年来的人类互动


204
00:18:36,240 --> 00:18:40,000
编程语言是一种计算机语言程序员


205
00:18:40,000 --> 00:18:43,039
用于开发软件程序脚本


206
00:18:43,039 --> 00:18:48,960
或其他计算机执行的指令集


207
00:18:50,320 --> 00:18:57,840
c 和 c plus plus 是关键的低级编程语言


208
00:18:58,880 --> 00:19:03,520
cnc plus plus 访问低级 IT 基础设施


209
00:19:03,520 --> 00:19:10,640
例如 ram 和系统进程，它们没有受到很好的保护，黑客可以


210
00:19:10,640 --> 00:19:16,000
轻松利用c编程语言是骨干


211
00:19:16,000 --> 00:19:19,840
大多数操作系统


212
00:19:20,880 --> 00:19:24,160
c 编程语言是一种精益灵活


213
00:19:24,160 --> 00:19:29,840
和高效的语言，可用于完成广泛的任务


214
00:19:29,840 --> 00:19:37,280
例如密码学图像处理和套接字网络


215
00:19:37,280 --> 00:19:44,000
c plus plus 被认为是老大哥 c plus plus 是一种奇妙的语言


216
00:19:44,000 --> 00:19:48,880
主要基于有几个网络安全


217
00:19:48,880 --> 00:19:55,679
使用 c plus plus 创建的程序，例如在地图中


218
00:19:57,280 --> 00:20:03,039
个人主页php语言被设计成脚本语言


219
00:20:03,039 --> 00:20:08,000
专门用于数据库驱动网页的快速开发


220
00:20:08,000 --> 00:20:13,440
快速方便的数据库访问


221
00:20:14,000 --> 00:20:21,200
php 已准备好 nc 因此它可以继承安全漏洞


222
00:20:21,200 --> 00:20:26,400
其父语言的不安全实施


223
00:20:26,400 --> 00:20:32,960
为军用航空电子设备和实时系统设计的 ada 语言


224
00:20:32,960 --> 00:20:38,960
设计的重点是安全和保障


225
00:20:38,960 --> 00:20:42,320
类型所需的安全和保障


226
00:20:42,320 --> 00:20:49,840
软件程序为 adl 语言设定了高标准


227
00:20:49,840 --> 00:20:52,960
java是另一种被设计的语言


228
00:20:52,960 --> 00:20:56,640
内置安全性


229
00:20:57,120 --> 00:21:01,280
编程语言的安全方面


230
00:21:01,280 --> 00:21:07,760
保存打字保存指针保存架构保存范例


231
00:21:07,760 --> 00:21:15,360
实现保存对象构造内存管理垃圾收集


232
00:21:15,360 --> 00:21:22,240
无效访问保护保存和管理错误预期


233
00:21:22,240 --> 00:21:30,159
处理保存启动保存通信保存共同货币


234
00:21:30,159 --> 00:21:36,720
死锁检测和解决安全模式和框架


235
00:21:36,720 --> 00:21:40,960
安全的执行环境


236
00:21:41,039 --> 00:21:45,840
开发人员安全专业知识


237
00:21:46,159 --> 00:21:49,840
数据库管理系统


238
00:21:50,159 --> 00:21:54,000
数据是诸如数字之类的事实的集合


239
00:21:54,000 --> 00:22:00,720
单词测量观察或只是对事物的描述


240
00:22:00,720 --> 00:22:05,840
数据库是结构化的数据集合


241
00:22:06,799 --> 00:22:13,840
例如结构化的 sql 数据库数据库管理系统是


242
00:22:13,840 --> 00:22:19,200
管理数据库的软件应用程序


243
00:22:19,200 --> 00:22:22,640
数据库管理系统允许定义


244
00:22:22,640 --> 00:22:29,280
数据库的创建查询更新和管理


245
00:22:29,280 --> 00:22:33,240
sql 等标准提供了一定程度的


246
00:22:33,240 --> 00:22:38,400
数据库管理系统之间的互操作性


247
00:22:38,400 --> 00:22:43,760
开放式数据库连接和 java 数据库连接


248
00:22:43,760 --> 00:22:51,200
数据库管理系统功能分为四大类


249
00:22:51,200 --> 00:22:56,960
数据定义更新检索和管理


250
00:22:57,039 --> 00:23:00,960
数据定义允许创建修改


251
00:23:00,960 --> 00:23:08,159
和删除数据库定义更新设施是插入


252
00:23:08,159 --> 00:23:12,960
实际数据的修改和删除


253
00:23:12,960 --> 00:23:17,840
检索以调用者可用的形式提供信息


254
00:23:17,840 --> 00:23:23,760
环境管理部门正在注册和


255
00:23:23,760 --> 00:23:33,280
监控用户强制执行数据安全监控性能维护


256
00:23:33,280 --> 00:23:37,840
数据完整性管理共同货币控制并提供


257
00:23:37,840 --> 00:23:42,400
恢复信息数据库管理系统


258
00:23:42,400 --> 00:23:46,480
是数据定义语言数据字典


259
00:23:46,480 --> 00:23:53,360
和数据操作语言数据定义语言是计算机


260
00:23:53,360 --> 00:23:56,960
用于创建和修改结构的语言


261
00:23:56,960 --> 00:24:01,360
数据库中的数据库对象


262
00:24:02,880 --> 00:24:06,559
数据操作语言是一种计算机编程


263
00:24:06,559 --> 00:24:13,120
用于在数据库中添加删除和修改数据的语言


264
00:24:13,120 --> 00:24:20,400
数据字典包含有关数据库的元数据数据


265
00:24:20,640 --> 00:24:24,400
部署环境


266
00:24:25,120 --> 00:24:30,480
一个部署环境是相对孤立的信息系统


267
00:24:30,480 --> 00:24:34,240
致力于满足要求的环境


268
00:24:34,240 --> 00:24:40,880
和托管特定类别的应用程序和服务


269
00:24:40,880 --> 00:24:44,080
标准部署环境被称为


270
00:24:44,080 --> 00:24:51,200
开发集成测试分期和生产


271
00:24:53,200 --> 00:24:56,400
每个标准部署都有其级别


272
00:24:56,400 --> 00:25:02,000
信任和安全软件更改是在


273
00:25:02,000 --> 00:25:05,520
开发环境


274
00:25:06,559 --> 00:25:11,440
此环境通常是工作站


275
00:25:11,440 --> 00:25:15,760
集成环境是开发人员改变的地方


276
00:25:15,760 --> 00:25:20,400
组合在一起编译


277
00:25:21,760 --> 00:25:25,120
集成环境用于验证


278
00:25:25,120 --> 00:25:31,679
代码质量安全保障与集成


279
00:25:34,720 --> 00:25:38,720
测试部署环境是下一阶段


280
00:25:38,720 --> 00:25:46,640
不测试各种自动化质量措施的质量控制


281
00:25:47,520 --> 00:25:53,919
登台环境用于测试所有安装配置和


282
00:25:53,919 --> 00:25:58,480
应用之前的迁移脚本和过程


283
00:25:58,480 --> 00:26:02,159
到生产环境


284
00:26:03,200 --> 00:26:08,720
生产环境是软件上线的时间


285
00:26:08,720 --> 00:26:12,400
配置管理作为安全的一个方面


286
00:26:12,400 --> 00:26:20,159
编码配置管理是安全编码的一个基本方面


287
00:26:20,159 --> 00:26:23,279
配置管理正在维护一个


288
00:26:23,279 --> 00:26:27,279
持久配置历史


289
00:26:28,559 --> 00:26:31,919
配置管理提供了基础


290
00:26:31,919 --> 00:26:37,919
为了安全的编码环境，配置管理正在创建


291
00:26:37,919 --> 00:26:43,840
安全基线配置项是服务资产


292
00:26:43,840 --> 00:26:47,039
需要管理才能交付


293
00:26:47,039 --> 00:26:51,360
一个IT服务配置管理系统


294
00:26:51,360 --> 00:26:55,120
保存有关配置项的所有信息


295
00:26:55,120 --> 00:26:58,880
在设计范围内


296
00:26:59,360 --> 00:27:05,039
例如，服务配置项将包括详细信息，例如


297
00:27:05,039 --> 00:27:10,080
供应商成本采购日期和续订日期


298
00:27:10,080 --> 00:27:21,840
许可证和维护合同相关文件


299
00:27:22,240 --> 00:27:28,960
基线是对某一点产品属性的一致描述


300
00:27:28,960 --> 00:27:36,320
及时作为定义更改版本的基础


301
00:27:36,320 --> 00:27:40,559
是一个描述不可改变的概念


302
00:27:40,559 --> 00:27:45,679
一个配置项的状态 一组配置项


303
00:27:45,679 --> 00:27:52,240
和基线变更集是一组相关的更改


304
00:27:52,240 --> 00:27:56,480
已更改的配置项是


305
00:27:56,480 --> 00:28:00,559
如何更改软件系统的基础


306
00:28:00,559 --> 00:28:06,880
被控制一个分支标识一组版本化


307
00:28:06,880 --> 00:28:10,960
正在开发的配置项


308
00:28:10,960 --> 00:28:18,640
与主配置并行的主分支是基本配置


309
00:28:18,640 --> 00:28:23,120
所有其他分支都是从它派生出来的


310
00:28:23,120 --> 00:28:27,679
代码库的安全性


311
00:28:29,039 --> 00:28:36,000
存储库是指存储和维护数据的中心位置


312
00:28:36,000 --> 00:28:42,000
源代码存储库是包含代码和托管的存档


313
00:28:42,000 --> 00:28:45,840
这个软件的设施


314
00:28:51,399 --> 00:28:54,960
保密完整性和可用性需求


315
00:28:54,960 --> 00:28:58,159
在确定最佳方案时考虑


316
00:28:58,159 --> 00:29:05,039
保护源代码安全挑战和代码使用的方法


317
00:29:05,039 --> 00:29:10,960
这个 gruntlet 粗心地使用的存储库


318
00:29:10,960 --> 00:29:15,200
演员 承包商


319
00:29:15,520 --> 00:29:20,080
外部威胁，如黑客


320
00:29:24,840 --> 00:29:29,679
勒索软件拒绝服务


321
00:29:30,559 --> 00:29:37,360
敏感数据或知识产权的披露或盗窃


322
00:29:38,000 --> 00:29:43,200
敏感数据或知识产权


323
00:29:44,159 --> 00:29:48,080
资产 软件安全审计的有效性


324
00:29:48,080 --> 00:29:51,840
并记录更改


325
00:29:52,399 --> 00:30:00,720
日志记录提供系统中活动和事件的权威记录


326
00:30:01,440 --> 00:30:07,600
审计用于发现有关运营有效性的信息以及


327
00:30:07,600 --> 00:30:13,279
提供与合规相关的证据


328
00:30:13,919 --> 00:30:19,760
日志记录和审计的安全功能共同解决


329
00:30:19,760 --> 00:30:25,520
软件开发环境中的具体问题


330
00:30:28,559 --> 00:30:34,000
日志和审计的安全功能是


331
00:30:34,000 --> 00:30:41,279
错误和期望管理源代码管理操作


332
00:30:41,279 --> 00:30:45,679
环境日志检测授权和未授权


333
00:30:45,679 --> 00:30:52,000
运行软件安全监督的变化


334
00:30:52,000 --> 00:30:57,200
性能管理配置更改


335
00:30:57,200 --> 00:31:04,399
云环境变化安全态势变化安全事件


336
00:31:04,399 --> 00:31:09,120
响应安全控制验证


337
00:31:09,120 --> 00:31:17,519
安全信息甚至管理国外6 pci hipaa


338
00:31:17,519 --> 00:31:21,840
火星和综合


339
00:31:23,039 --> 00:31:26,240
错误和异常管理是过程


340
00:31:26,240 --> 00:31:33,039
处理运行软件中的问题情况


341
00:31:33,039 --> 00:31:36,960
解决是当程序出现问题时


342
00:31:36,960 --> 00:31:41,760
或需要消灭的服务


343
00:31:42,640 --> 00:31:47,519
错误是操作的问题，但不是整体的问题


344
00:31:47,519 --> 00:31:50,720
程序或服务


345
00:31:52,640 --> 00:31:56,320
警告是针对可能导致异常的事件


346
00:31:56,320 --> 00:32:02,399
应用程序行为信息是关于


347
00:32:02,399 --> 00:32:05,600
要锁定的系统


348
00:32:08,159 --> 00:32:15,840
debug 应保留用于开发目的以改进代码


349
00:32:15,840 --> 00:32:19,519
应保留跟踪用于开发目的


350
00:32:19,519 --> 00:32:24,480
需要追踪到执行的地方


351
00:32:24,480 --> 00:32:28,640
源代码管理是一个业务和技术过程


352
00:32:28,640 --> 00:32:37,760
控制源代码的记录管理共享和版本化


353
00:32:40,159 --> 00:32:47,039
源代码管理 我们的源代码问责 源代码完整性


354
00:32:47,039 --> 00:32:50,080
和验证


355
00:32:51,200 --> 00:32:56,799
源代码问责制可追溯对原始所做的所有更改


356
00:32:56,799 --> 00:33:00,559
提交更改的开发人员，以便何时


357
00:33:00,559 --> 00:33:05,840
识别出有问题的代码或配置


358
00:33:09,200 --> 00:33:14,480
源代码集成揭示程序修改


359
00:33:14,480 --> 00:33:19,519
与需求趋同或发散


360
00:33:19,840 --> 00:33:24,399
验证是确保完整性的过程


361
00:33:24,399 --> 00:33:28,240
和代码的正确性


362
00:33:28,640 --> 00:33:35,120
日志记录捕获操作环境中发生的事件


363
00:33:36,559 --> 00:33:40,240
检测授权和未授权的更改


364
00:33:40,240 --> 00:33:46,159
是支持安全的最有效方法之一


365
00:33:47,519 --> 00:33:50,960
在生产环境中运行的软件


366
00:33:50,960 --> 00:33:55,440
是网络安全的第一线


367
00:33:57,600 --> 00:34:00,720
记录具有安全影响的事件


368
00:34:00,720 --> 00:34:07,840
支持对运行软件的安全监督


369
00:34:08,399 --> 00:34:11,440
运行环境中的性能


370
00:34:11,440 --> 00:34:14,480
应该保持在一个服务水平


371
00:34:14,480 --> 00:34:18,159
让顾客满意


372
00:34:18,960 --> 00:34:22,079
应跟踪所有配置更改


373
00:34:22,079 --> 00:34:26,720
变更的批准要求


374
00:34:29,359 --> 00:34:33,359
对云环境的所有更改都应根据


375
00:34:33,359 --> 00:34:39,200
安全要求 安全态势基于其


376
00:34:39,200 --> 00:34:45,359
安全政策标准指南和程序


377
00:34:45,599 --> 00:34:50,159
安全相关的事件日志可以发送到安全信息


378
00:34:50,159 --> 00:34:55,839
甚至管理系统


379
00:34:56,639 --> 00:35:03,040
安全信息甚至管理系统分析和关联


380
00:35:03,040 --> 00:35:07,200
安全事件以发现和响应安全


381
00:35:07,200 --> 00:35:10,000
情况


382
00:35:11,440 --> 00:35:14,480
安全控制验证确认


383
00:35:14,480 --> 00:35:20,079
安全控制按预期执行


384
00:35:20,079 --> 00:35:23,680
取证是收集的科学过程


385
00:35:23,680 --> 00:35:28,160
分析和提供证据


386
00:35:38,720 --> 00:35:42,440
支付卡行业数据安全标准


387
00:35:42,440 --> 00:35:50,480
bcidss 由支付卡行业的安全标准委员会维护


388
00:35:54,640 --> 00:36:01,760
由万事达签证发现 jcb 于 2004 年创建和


389
00:36:01,760 --> 00:36:05,920
美国运通建立通用平台


390
00:36:05,920 --> 00:36:13,839
在传输信用卡信息时防止欺诈


391
00:36:16,680 --> 00:36:22,960
hipaa in us 提供数据隐私和安全的立法


392
00:36:22,960 --> 00:36:28,400
保护医疗信息的规定


393
00:36:30,800 --> 00:36:34,480
mars is version 2 提供安全指导


394
00:36:34,480 --> 00:36:37,680
支持患者的任务


395
00:36:37,680 --> 00:36:42,160
2010 年保护和负担得起的医疗法案


396
00:36:42,160 --> 00:36:47,520
以及卫生和人类服务部


397
00:36:48,400 --> 00:36:56,000
美国于 2013 年生效的 hipaa 综合最终规则


398
00:36:56,000 --> 00:37:00,560
卫生和人类服务部成立


399
00:37:00,560 --> 00:37:05,520
修改hipaa为患者提供更多


400
00:37:05,520 --> 00:37:09,359
对个人健康的灵活性和控制


401
00:37:09,359 --> 00:37:14,079
信息并加强现有的hipaa


402
00:37:14,079 --> 00:37:20,160
健康信息的隐私和安全保护


403
00:37:21,040 --> 00:37:28,079
风险分析和缓解 威胁是新发现的事件


404
00:37:28,079 --> 00:37:32,640
有可能损害系统的


405
00:37:33,599 --> 00:37:39,040
蠕虫和病毒被归类为威胁，因为它们可能导致


406
00:37:39,040 --> 00:37:43,680
暴露于自动攻击


407
00:37:43,680 --> 00:37:51,040
漏洞是攻击者可以利用的酸的弱点


408
00:37:51,040 --> 00:37:58,480
病毒的弱点，它可以让黑客进入计算机网络


409
00:37:59,200 --> 00:38:05,760
风险被定义为当威胁利用


410
00:38:05,760 --> 00:38:08,560
脆弱性


411
00:38:09,680 --> 00:38:16,320
财务损失 隐私损失 重复损害 法律影响


412
00:38:16,320 --> 00:38:19,839
和失去生命


413
00:38:22,000 --> 00:38:26,800
风险威胁和脆弱性


414
00:38:27,359 --> 00:38:31,760
风险分析是一种识别漏洞的努力


415
00:38:31,760 --> 00:38:36,800
及其相关威胁评估潜在成本


416
00:38:36,800 --> 00:38:40,880
并确定适当的和


417
00:38:40,880 --> 00:38:49,440
具有成本效益的安全控制风险分析的四个目标


418
00:38:49,440 --> 00:38:55,760
识别要保护的资产 识别资产漏洞和


419
00:38:55,760 --> 00:39:00,880
相关威胁提供了真实的信息


420
00:39:00,880 --> 00:39:05,680
风险的概率和对组织的影响


421
00:39:05,680 --> 00:39:10,079
事件确定处理风险的最佳方式


422
00:39:10,079 --> 00:39:17,839
基于对不同风险管理方式的成本效益分析


423
00:39:18,560 --> 00:39:24,720
风险分析方法是 nist sp 800-30


424
00:39:24,720 --> 00:39:29,200
信息技术系统风险管理指南


425
00:39:29,200 --> 00:39:37,200
八度八度电iso或lec 27005


426
00:39:37,200 --> 00:39:45,119
故障模式及影响分析 故障树分析


427
00:39:46,960 --> 00:39:53,200
nist sp 800 信息管理指南重点是信息


428
00:39:53,200 --> 00:39:56,560
技术威胁和与信息的关系


429
00:39:56,560 --> 00:39:59,680
安全风险


430
00:40:00,960 --> 00:40:08,560
ni stsp 800-30 风险评估活动是系统表征


431
00:40:08,560 --> 00:40:14,000
线程识别漏洞识别


432
00:40:14,000 --> 00:40:18,640
控制分析似然确定


433
00:40:18,640 --> 00:40:26,119
影响分析风险确定控制建议和结果


434
00:40:26,119 --> 00:40:29,119
文件


435
00:40:30,850 --> 00:40:37,839
[音乐] 八度操作上的关键威胁


436
00:40:37,839 --> 00:40:41,760
脆弱性评估


437
00:40:43,440 --> 00:40:46,480
八度是一个框架，用于识别和


438
00:40:46,480 --> 00:40:50,960
管理信息安全风险


439
00:40:50,960 --> 00:40:56,640
卡内基梅隆工程学院


440
00:40:58,800 --> 00:41:05,280
Octave 阶段是第一阶段构建的企业级安全性


441
00:41:05,280 --> 00:41:10,240
需求阶段 2 确定基础设施


442
00:41:10,240 --> 00:41:15,280
漏洞阶段 3 确定安全风险


443
00:41:15,280 --> 00:41:23,760
管理策略八度快板专为


444
00:41:23,760 --> 00:41:30,079
组织评估信息安全风险，但在规定时间内


445
00:41:30,079 --> 00:41:35,839
东西和资源限制


446
00:41:37,920 --> 00:41:44,640
建立风险衡量标准 制定信息资产概况


447
00:41:44,640 --> 00:41:51,359
识别信息资产容器 识别关注领域


448
00:41:51,359 --> 00:42:00,839
识别威胁场景 识别风险 分析风险 选择缓解措施


449
00:42:00,839 --> 00:42:03,839
方法


450
00:42:08,000 --> 00:42:12,400
iso或iec技术安全技术


451
00:42:12,400 --> 00:42:16,800
信息安全风险国际标准


452
00:42:16,800 --> 00:42:20,480
背景下的风险管理实践


453
00:42:20,480 --> 00:42:25,520
信息安全管理体系


454
00:42:27,280 --> 00:42:32,960
失效模式和影响分析是一个结构化和系统化的过程


455
00:42:32,960 --> 00:42:38,800
确定故障和这些故障的影响


456
00:42:41,359 --> 00:42:46,240
假树分析是一种自上而下的故障分析方法


457
00:42:46,240 --> 00:42:51,839
演绎分析系统中的故障事件


458
00:42:52,880 --> 00:43:00,480
风险分析 定量风险分析和定性风险分析


459
00:43:03,280 --> 00:43:07,599
定量风险分析检查可以衡量的风险


460
00:43:07,599 --> 00:43:14,160
数字或货币资产价值暴露因子单一


461
00:43:14,160 --> 00:43:19,680
允许预期分析发生率和年度


462
00:43:19,680 --> 00:43:22,960
预期损失


463
00:43:24,880 --> 00:43:28,480
资产价值是资产对一个人的价值


464
00:43:28,480 --> 00:43:31,200
组织


465
00:43:32,720 --> 00:43:36,400
暴露因子是潜在百分比


466
00:43:36,400 --> 00:43:41,680
由已识别特征引起的资产法


467
00:43:43,680 --> 00:43:50,480
单一损失预期是资产的预期价值损失百分比


468
00:43:50,480 --> 00:43:55,839
风险的实现


469
00:43:56,880 --> 00:44:01,280
分析的发生率是年化率


470
00:44:01,280 --> 00:44:05,200
发生率是风险发生的概率


471
00:44:05,200 --> 00:44:09,839
发生错误


472
00:44:11,119 --> 00:44:14,720
年度损失预期是损失的百分比


473
00:44:14,720 --> 00:44:19,280
对风险实现预期的资产的价值


474
00:44:19,280 --> 00:44:23,839
一年多


475
00:44:25,599 --> 00:44:29,760
年化发生率是估计


476
00:44:29,760 --> 00:44:34,160
给定威胁可能发生的频率


477
00:44:34,839 --> 00:44:39,040
每年的啤酒是预期的风险因素


478
00:44:39,040 --> 00:44:43,920
动物威胁排除了仍然存在的风险


479
00:44:43,920 --> 00:44:47,520
反措施实施后


480
00:44:47,520 --> 00:44:52,000
被称为剩余风险


481
00:44:52,400 --> 00:44:59,119
总风险线程漏洞资产价值


482
00:44:59,839 --> 00:45:05,440
剩余风险全风险安全控制


483
00:45:05,440 --> 00:45:10,160
定性风险分析根据风险的可能性考虑风险


484
00:45:10,160 --> 00:45:14,000
风险的影响和严重性质量等于


485
00:45:14,000 --> 00:45:23,119
减少可能性和影响转移避免接受


486
00:45:24,400 --> 00:45:27,920
降低风险是降低风险的过程


487
00:45:27,920 --> 00:45:33,040
到组织可以接受的程度


488
00:45:33,040 --> 00:45:39,599
风险转移是指合法地将风险分配给第三方


489
00:45:41,440 --> 00:45:46,240
风险规避是指组织选择转移


490
00:45:46,240 --> 00:45:51,200
终止导致风险的情况


491
00:45:51,760 --> 00:45:56,640
风险接受是钻机的假设


492
00:45:58,160 --> 00:46:03,599
作为收购软件的安全影响


493
00:46:05,760 --> 00:46:09,280
收购是一个过程，通过该过程


494
00:46:09,280 --> 00:46:15,839
组织购买另一个组织


495
00:46:17,520 --> 00:46:21,839
例如，bharti airtel 收购了 zayn africa


496
00:46:21,839 --> 00:46:25,119
2000年2月


497
00:46:27,359 --> 00:46:33,280
当一个组织获得软件时，它也获得了与相关的风险


498
00:46:33,280 --> 00:46:36,240
那个软件


499
00:46:37,119 --> 00:46:41,599
商业现成软件是现成的软件


500
00:46:41,599 --> 00:46:46,640
并向公众出售


501
00:46:47,599 --> 00:46:54,079
例如 microsoft office 是一个婴儿床产品


502
00:46:54,079 --> 00:46:59,040
这是一个打包的商业软件解决方案


503
00:46:59,040 --> 00:47:03,520
软件开发外包描述情况


504
00:47:03,520 --> 00:47:08,960
组织选择聘请第三方程序员


505
00:47:08,960 --> 00:47:14,319
提供与软件开发相关的服务


506
00:47:15,359 --> 00:47:18,720
开源软件是计算机软件，其


507
00:47:18,720 --> 00:47:24,640
源代码已公开


508
00:47:24,640 --> 00:47:31,920
aqua软件四阶段规划承包监测验收


509
00:47:31,920 --> 00:47:34,559
跟进


510
00:47:35,760 --> 00:47:38,800
在计划阶段，组织执行


511
00:47:38,800 --> 00:47:43,359
需求评估开发软件需求


512
00:47:43,359 --> 00:47:47,040
制定收购战略并发展


513
00:47:47,040 --> 00:47:55,119
承包阶段组织的评价标准和计划


514
00:47:55,119 --> 00:47:59,280
创建提案请求或其他供应商


515
00:47:59,280 --> 00:48:04,880
征集表格评估供应商的建议和


516
00:48:04,880 --> 00:48:10,800
与选定的卖方协商最终合同


517
00:48:13,359 --> 00:48:18,640
在监督和验收阶段组织建立合同


518
00:48:18,640 --> 00:48:23,119
工作计划实施变更控制程序和


519
00:48:23,119 --> 00:48:28,240
审查并接受软件交付物


520
00:48:30,640 --> 00:48:34,000
在后续阶段，组织必须维持


521
00:48:34,000 --> 00:48:39,680
该软件包括管理风险和变更


522
00:48:40,000 --> 00:48:43,440
能力成熟度模型集成


523
00:48:43,440 --> 00:48:49,520
采购版本 1.3 模型提供了最佳实践指导


524
00:48:49,520 --> 00:48:53,119
申请cmmi的组织


525
00:48:53,119 --> 00:48:57,520
在购买产品和服务时


526
00:48:57,839 --> 00:49:02,400
软件保证是确定的程度


527
00:49:02,400 --> 00:49:08,800
软件没有各种漏洞，并且其功能


528
00:49:08,800 --> 00:49:16,079
使所有需要的例外


529
00:49:16,079 --> 00:49:22,720
软件保障风险的七项原则推动保障决策


530
00:49:22,720 --> 00:49:26,960
风险关注点应在所有利益相关者之间保持一致


531
00:49:26,960 --> 00:49:33,839
并且所有互连的技术依赖项都不应被信任，直到


532
00:49:33,839 --> 00:49:39,760
应接受经证实的可信攻击


533
00:49:39,760 --> 00:49:42,960
保证需要有效的沟通


534
00:49:42,960 --> 00:49:48,559
技术参与者保证应精心策划和


535
00:49:48,559 --> 00:49:54,000
动态主流措施和整体审计


536
00:49:54,000 --> 00:49:59,280
保证应建立在


537
00:49:59,280 --> 00:50:05,839
认证是对符合特定标准的技术评估


538
00:50:05,839 --> 00:50:09,520
它应该符合


539
00:50:09,680 --> 00:50:13,760
认可是管理层了解整体安全性


540
00:50:13,760 --> 00:50:17,599
评估系统并正式接受风险


541
00:50:17,599 --> 00:50:24,160
安全弱点和漏洞以及源代码级别


542
00:50:24,319 --> 00:50:30,960
软件弱点是软件中的错误缺陷或错误


543
00:50:34,640 --> 00:50:41,839
程序的架构设计和代码


544
00:50:43,440 --> 00:50:50,079
软件弱点缓冲区溢出格式字符串的常见示例


545
00:50:50,079 --> 00:50:54,319
身份验证错误数据验证不足


546
00:50:54,319 --> 00:50:57,520
和代码注入


547
00:50:58,319 --> 00:51:08,079
常见弱点列举和owasp 前10。


548
00:51:08,079 --> 00:51:12,000
常见的弱点列举是社区开发的列表


549
00:51:12,000 --> 00:51:17,440
常见的软件和硬件安全弱点


550
00:51:20,400 --> 00:51:26,559
owasp 前 10 名最关键的 Web 应用程序安全风险


551
00:51:26,559 --> 00:51:29,359
列为重要资源


552
00:51:29,359 --> 00:51:32,720
安全从业者


553
00:51:34,720 --> 00:51:40,319
ow asp 前 10 名应用程序安全风险


554
00:51:40,400 --> 00:51:48,079
注入损坏的身份验证敏感数据暴露


555
00:51:48,079 --> 00:51:54,720
xml 外部实体破坏了访问控制


556
00:51:54,720 --> 00:52:00,160
安全配置错误跨站点脚本


557
00:52:00,160 --> 00:52:04,160
使用具有已知漏洞的组件


558
00:52:04,160 --> 00:52:11,599
日志监控不足 跨航班请求欺诈


559
00:52:13,920 --> 00:52:22,559
注入漏洞注入漏洞是缺陷


560
00:52:22,559 --> 00:52:26,160
允许攻击者注入恶意代码


561
00:52:26,160 --> 00:52:35,119
当应用程序接受用户输入时，在另一个使用应用程序的系统中


562
00:52:35,119 --> 00:52:38,960
并允许这些输入进入数据库


563
00:52:38,960 --> 00:52:44,240
shell 命令或操作系统使应用程序容易受到攻击


564
00:52:44,240 --> 00:52:47,839
注射缺陷


565
00:52:49,359 --> 00:52:55,040
缺陷是输入验证不足的结果


566
00:52:56,240 --> 00:53:03,200
注入缺陷类型sql注入命令注入


567
00:53:03,200 --> 00:53:11,280
ldap 注入 expat 注入和 xml 注入


568
00:53:11,440 --> 00:53:17,520
sql 注入攻击者将恶意 sql 代码插入其中


569
00:53:17,520 --> 00:53:24,559
一个 sql 数据库，用于提供对私人数据的未经授权的访问


570
00:53:24,559 --> 00:53:28,559
命令注入是一种攻击，其目标是执行任意


571
00:53:28,559 --> 00:53:34,240
通过易受攻击的应用程序在主机操作系统上执行命令


572
00:53:34,800 --> 00:53:41,200
ldap 注入是一种用于利用基于 Web 的应用程序的攻击


573
00:53:41,200 --> 00:53:47,920
根据用户输入构造 ldap 语句


574
00:53:51,359 --> 00:53:58,559
类似于 sql 注入 xpath 注入攻击发生在网站使用


575
00:53:58,559 --> 00:54:06,880
用户提供的信息以构建针对 xml 数据的 expat 查询


576
00:54:08,319 --> 00:54:12,400
xml 注入是一种用于操纵的攻击技术


577
00:54:12,400 --> 00:54:19,119
或破坏 xml 应用程序或服务的逻辑


578
00:54:19,680 --> 00:54:27,280
损坏的身份验证 损坏的身份验证是桥梁


579
00:54:27,280 --> 00:54:32,720
Web 应用程序的身份验证过程


580
00:54:33,520 --> 00:54:41,599
传输过程中损坏的身份验证漏洞纯文本密码


581
00:54:41,599 --> 00:54:48,559
纯文本密码静态弱密码单因素


582
00:54:48,559 --> 00:54:55,599
浏览器攻击和会话中的身份验证密码猜测人


583
00:54:55,599 --> 00:54:58,319
劫持


584
00:55:00,559 --> 00:55:03,680
传输中的纯文本密码


585
00:55:03,680 --> 00:55:08,000
通过 http 连接的明文密码


586
00:55:08,000 --> 00:55:11,520
然后密码将以纯文本形式传达


587
00:55:11,520 --> 00:55:16,960
并面临不断下降的风险


588
00:55:19,119 --> 00:55:24,079
静态文本密码意味着任何查看数据库的人


589
00:55:24,079 --> 00:55:29,680
将能够只读取数据库


590
00:55:30,480 --> 00:55:34,640
弱密码是一种很容易被两者检测到的密码


591
00:55:34,640 --> 00:55:38,240
人和计算机


592
00:55:41,280 --> 00:55:44,640
单因素身份验证是一个过程


593
00:55:44,640 --> 00:55:50,799
保护对系统的访问识别通过以下方式请求访问


594
00:55:50,799 --> 00:55:55,440
仅凭证类别


595
00:55:59,760 --> 00:56:03,599
密码猜测是试图获得的过程


596
00:56:03,599 --> 00:56:09,040
通过系统地猜测密码访问系统


597
00:56:11,280 --> 00:56:17,680
使用验证码可以防止密码猜测


598
00:56:17,680 --> 00:56:21,520
可以通过延迟后续来防止密码猜测


599
00:56:21,520 --> 00:56:33,040
每次失败密码猜测后的登录原子可以通过以下方式防止


600
00:56:33,040 --> 00:56:40,640
在浏览器中完全锁定帐户 mitb 攻击利用


601
00:56:40,640 --> 00:56:45,599
预先感染的设备系统中的特洛伊木马程序来感染互联网浏览器


602
00:56:45,599 --> 00:56:48,799
并嗅探捕获并修改信息


603
00:56:48,799 --> 00:56:54,720
在受感染浏览器的用户界面和互联网之间传播


604
00:56:55,359 --> 00:56:58,960
男人在浏览器攻击可以迁移到别


605
00:56:58,960 --> 00:57:06,480
从不受信任的来源安装浏览器扩展或附加组件


606
00:57:07,280 --> 00:57:10,880
可以减轻浏览器中的人攻击以保持


607
00:57:10,880 --> 00:57:16,160
您的操作系统和浏览器是最新的


608
00:57:18,240 --> 00:57:21,440
可以减轻浏览器中的人攻击来安装


609
00:57:21,440 --> 00:57:27,839
并更新反恶意软件


610
00:57:28,559 --> 00:57:33,119
会话劫持是指攻击者的能力


611
00:57:33,119 --> 00:57:40,799
在会话的一部分中充当参与者之一


612
00:57:40,799 --> 00:57:45,760
当用户与 Web 应用程序交互时，应用程序需要跟踪哪些


613
00:57:45,760 --> 00:57:49,440
请求来自哪些用户


614
00:57:50,240 --> 00:57:54,960
会话令牌用于连接绝望的 https 请求


615
00:57:54,960 --> 00:57:58,240
给单个用户


616
00:58:04,160 --> 00:58:08,079
猜测安全会话令牌必须由


617
00:58:08,079 --> 00:58:14,480
加密安全的伪随机数生成器


618
00:58:14,720 --> 00:58:18,720
蛮力安全会话令牌必须足够长


619
00:58:18,720 --> 00:58:26,720
至少 128 位会话令牌也必须无效


620
00:58:26,720 --> 00:58:32,079
当用户成功登录和注销时


621
00:58:33,119 --> 00:58:38,799
当应用程序或程序未


622
00:58:38,799 --> 00:58:42,880
充分保护密码支付等信息


623
00:58:42,880 --> 00:58:45,839
信息或健康


624
00:58:46,160 --> 00:58:52,799
敏感数据暴露漏洞在敏感数据传输


625
00:58:52,799 --> 00:58:55,200
清除


626
00:58:56,400 --> 00:58:59,839
缺乏适当的 http 安全加热器


627
00:58:59,839 --> 00:59:06,160
用于降低中间人攻击的可能性


628
00:59:06,480 --> 00:59:11,359
错误配置的 http 标头


629
00:59:12,319 --> 00:59:15,680
弱削片机


630
00:59:17,040 --> 00:59:21,599
以纯文本形式存储用户密码


631
00:59:22,160 --> 00:59:27,760
可扩展标记语言 xml 是独立于平台的标准


632
00:59:27,760 --> 00:59:33,839
定义编码数据格式规则的标记语言


633
00:59:34,400 --> 00:59:41,119
攻击者可以滥用 xml 特性来进行 daniel of service 攻击


634
00:59:41,119 --> 00:59:45,760
访问逻辑文件生成与其他机器的网络连接


635
00:59:45,760 --> 00:59:50,160
或规避病毒


636
00:59:52,400 --> 00:59:55,920
xml缓解技术


637
00:59:57,760 --> 01:00:02,480
使用不太复杂的文件格式


638
01:00:04,000 --> 01:00:09,119
和共享 xml 解析器库是最新的


639
01:00:10,640 --> 01:00:17,520
正确配置xml解析器并禁用安全敏感选项


640
01:00:18,400 --> 01:00:24,319
使用积极的服务器端清理来验证输入并防止恶意


641
01:00:24,319 --> 01:00:26,640
代码


642
01:00:27,280 --> 01:00:32,640
应用防火墙监控 xxe 攻击


643
01:00:33,599 --> 01:00:38,640
当服务器未正确验证时发生访问控制中断


644
01:00:38,640 --> 01:00:45,920
每个请求服务器都会验证管理页面，但不会


645
01:00:45,920 --> 01:00:50,400
验证帖子或从该页面获取


646
01:00:51,119 --> 01:00:58,319
了解帖子的攻击者或绕过验证获取 url


647
01:00:59,520 --> 01:01:05,599
调整参数的攻击者可以绕过验证


648
01:01:07,520 --> 01:01:12,240
始终检查用户的身份和权限以执行请求


649
01:01:12,240 --> 01:01:16,079
对每个请求进行操作


650
01:01:19,920 --> 01:01:25,680
安全配置错误的 Web 应用程序


651
01:01:25,680 --> 01:01:31,920
网络服务平台网络服务器应用服务器


652
01:01:31,920 --> 01:01:38,880
数据库框架自定义代码预装虚拟机


653
01:01:38,880 --> 01:01:43,440
容器和存储


654
01:01:46,720 --> 01:01:57,359
防止安全配置错误必须禁用默认帐户


655
01:01:58,720 --> 01:02:06,319
必须禁用不必要的功能和服务


656
01:02:06,319 --> 01:02:09,760
必须锁定报告


657
01:02:11,039 --> 01:02:16,640
必须启用并正确配置安全标头


658
01:02:17,839 --> 01:02:22,480
跨站点脚本是攻击者附加的漏洞利用


659
01:02:22,480 --> 01:02:26,559
代码到将执行的合法网站上


660
01:02:26,559 --> 01:02:38,960
当受害者加载网站时，存储跨站脚本攻击


661
01:02:38,960 --> 01:02:41,920
并反映


662
01:02:46,400 --> 01:02:52,160
存储攻击被注入脚本永久存储在目标上


663
01:02:52,160 --> 01:02:55,680
服务器如在消息中的数据库中


664
01:02:55,680 --> 01:03:03,839
论坛访客日志或评论栏等


665
01:03:05,839 --> 01:03:11,680
例如，反射攻击受害者点击精心制作的链接


666
01:03:11,680 --> 01:03:16,400
在向目标发送恶意脚本的电子邮件或其他网站中


667
01:03:16,400 --> 01:03:18,960
网站


668
01:03:25,839 --> 01:03:31,839
缓解措施是永远不要相信用户输入


669
01:03:32,559 --> 01:03:36,480
使用有漏洞的组件


670
01:03:36,480 --> 01:03:45,119
准确清点 Web 应用程序的所有组件很重要


671
01:03:45,119 --> 01:03:48,880
用于扫描的自动化漏洞管理工具


672
01:03:48,880 --> 01:03:53,520
Web 应用程序并针对数据库检测到的包


673
01:03:53,520 --> 01:03:56,799
已知漏洞


674
01:03:57,760 --> 01:04:04,400
采伐和监测不足是近乎死药


675
01:04:04,400 --> 01:04:07,760
每一个重大事件


676
01:04:08,319 --> 01:04:17,280
日志记录必须捕获所有相关事件日志记录必须记录详细信息


677
01:04:18,400 --> 01:04:22,400
日志必须集中


678
01:04:24,160 --> 01:04:28,160
日志记录必须是不可变的


679
01:04:28,559 --> 01:04:33,520
监控应在限制退出时发出警报


680
01:04:34,559 --> 01:04:41,119
跨站点请求伪造是一种强制最终用户执行的攻击


681
01:04:41,119 --> 01:04:45,119
Web 应用程序上不需要的操作


682
01:04:45,119 --> 01:04:48,640
当前已通过身份验证


683
01:04:49,200 --> 01:04:54,160
跨站点请求伪造攻击专门针对状态改变


684
01:04:54,160 --> 01:04:57,760
请求，如转移资金改变他们的


685
01:04:57,760 --> 01:05:02,480
电子邮件地址不是窃取数据


686
01:05:04,720 --> 01:05:09,520
跨站点请求 rogery 令牌是一个唯一的随机值


687
01:05:09,520 --> 01:05:14,640
防止陪审团攻击的跨站点请求


688
01:05:16,720 --> 01:05:23,280
应用程序编程接口的安全性


689
01:05:23,280 --> 01:05:26,720
应用程序编程接口允许


690
01:05:26,720 --> 01:05:30,559
应用程序与另一个应用程序通信


691
01:05:30,559 --> 01:05:37,280
或操作系统数据库网络等


692
01:05:37,280 --> 01:05:40,799
例如谷歌地图 api 允许


693
01:05:40,799 --> 01:05:44,240
集成第三方内容的应用程序


694
01:05:44,240 --> 01:05:50,319
例如覆盖在谷歌地图上的地点的位置


695
01:05:50,319 --> 01:05:56,319
api 安全性侧重于理解和缓解的策略和解决方案


696
01:05:56,319 --> 01:06:00,720
应用程序的独特漏洞和安全风险


697
01:06:00,720 --> 01:06:04,720
编程接口


698
01:06:04,720 --> 01:06:10,000
2019 年 API 安全前 10 名


699
01:06:15,280 --> 01:06:21,839
api one 2019 破对象级授权


700
01:06:23,520 --> 01:06:39,200
api 2 2019 破解用户认证 api 3 2019 数据泄露过多


701
01:06:43,039 --> 01:06:50,640
api 4 2019 缺乏资源和速率限制


702
01:06:52,960 --> 01:06:58,400
api 5 2019 破功能级别


703
01:06:58,839 --> 01:07:01,839
授权


704
01:07:02,240 --> 01:07:07,680
api 6 2019 批量赋值


705
01:07:12,079 --> 01:07:18,000
api 7 2019 安全配置错误


706
01:07:22,160 --> 01:07:29,839
api 8 2019 注入


707
01:07:31,680 --> 01:07:38,160
api 9 2019 资产管理不当


708
01:07:41,119 --> 01:07:48,000
api 10 2019 日志记录和监控不足


709
01:07:51,599 --> 01:07:59,359
安全编码实践卡内基梅隆工程学院


710
01:07:59,359 --> 01:08:03,359
产生良好的编码标准


711
01:08:06,880 --> 01:08:17,600
seis 前 10 名安全编码实践验证输入热编译器警告


712
01:08:17,600 --> 01:08:22,319
安全策略的架构和设计


713
01:08:22,319 --> 01:08:29,040
保持简单默认拒绝坚持最后的原则


714
01:08:29,040 --> 01:08:35,359
发送到其他系统的特权清理数据


715
01:08:35,359 --> 01:08:40,960
实践纵深防御 使用有效的质量保证


716
01:08:40,960 --> 01:08:47,279
技术适应安全编码标准


717
01:08:51,120 --> 01:08:56,719
验证来自所有不受信任的数据源的输入


718
01:08:57,120 --> 01:09:01,279
使用您的编译器可用的最高警告级别编译代码，并且


719
01:09:01,279 --> 01:09:08,719
通过修改代码消除警告创建软件架构和


720
01:09:08,719 --> 01:09:14,480
设计您的软件以实施和实施安全策略


721
01:09:16,480 --> 01:09:21,839
保持设计尽可能简单和小巧


722
01:09:26,080 --> 01:09:30,799
默认情况下拒绝访问并且保护方案识别条件


723
01:09:30,799 --> 01:09:37,759
在允许访问的情况下，每个进程都应该使用


724
01:09:37,759 --> 01:09:42,880
完成工作所需的最少权限


725
01:09:45,520 --> 01:09:50,080
清理传递给复杂子系统（例如命令外壳）的所有数据


726
01:09:50,080 --> 01:09:53,440
关系数据库和商业现货


727
01:09:53,440 --> 01:09:59,040
cot 组件通过多种防御策略管理风险


728
01:09:59,040 --> 01:10:02,320
所以如果一层防御证明是不够的


729
01:10:02,320 --> 01:10:05,679
另一层防御可以防止安全漏洞


730
01:10:05,679 --> 01:10:10,080
良好的质量保证技术可以有效地识别和消除


731
01:10:10,080 --> 01:10:13,040
漏洞


732
01:10:15,360 --> 01:10:19,440
为您的目标开发开发和/或应用安全编码标准


733
01:10:19,440 --> 01:10:27,120
语言和平台