25個Secure Coding 的建議與業界標準(CWE) 這篇文章主要說明Coding或是進行 Code Review 時, 有沒有基本的規範讓程式可以避免已知的重大資訊安全風險? 我們主要透過一個業界Common Weakness Enumeration (CWE)的規範 說明最常見的 Top 25軟體錯誤與 Secure Coding 基本法則。 Secure Coding…
雲端資訊安全
符合PCI資訊安全規範的整體架構圖
符合PCI資訊安全規範的整體架構圖 這篇文章主要介紹 open Security Architecture中所提出的 PCI design pattern。 用架構圖的方式表達系統間的相互關係、人員角色要注意的資安議題、網路、開發團隊整流程要關注的。 筆者很喜歡這張圖是因為這一張圖自然說明了很多資安流程。 PS. PCI 規範是什麼呢? 電子商務網站或是有電子交易、信用卡的系統都會被要求符合 PCI的安全規範。 參考資料 http://www.opensecurityarchitecture.org/ http://www.opensecurityarchitecture.org/cms/library/patternlandscape/315-sp-026-pci-full
世界頂尖的資訊安全(滲透式)測試國際業界標準、方法、範本
世界頂尖的資訊安全(滲透式)測試方法範本 這篇文章主要介紹幾個資訊安全測試相關業界的範本參考。 站在巨人的肩膀上學習,看看這些業界共同的資訊安全測試與設計範本。 由於這些範本因為由許多顧問、業界、學界等共同撰寫而成, 因此提供資訊安全測試與設計一個較完整的全貌。 也讓資訊安全測試與設計有比較容易遵循的方法與流程。 讓我們站在巨人的肩膀看看這些業界的範本。 Open Web Application Security Project Testing Guide (OWASP) ***筆者建議 (https://www.owasp.org/) Common Weakness Enumeration…