。。
。。
应用安全和IAM
安全软件开发生命周期(SSDLC)
安全设计与开发:管理平面/元基础设施也在应用安全范围内
威胁建模样例:STRIDE模型
欺骗 - 身份认证
篡改 - 数字签名,哈希
抵赖 - 审计日志
信息泄露 - 加密
拒绝服务 - 可用性
提权 - 授权
回归测试是验证变更的
直接对镜像做安全评估、使用一个基于主机的代理、
DEVOPS通常指持续集成/持续交付和自动化相关的一系列流程,以及文化的转变
默认隔离,不可变基础设施,微服务使用的增加、PaaS和无服务器架构
无服务器架构(serverless)
身份和访问管理(IAM):
OAUTH是授权协议
OPENID是身份认证,比SAML简单