技能分类 · 安全

安全

5 条技能技能中心第 6 类

本分类覆盖威胁建模驱动的审计清单、流水线中的密钥扫描、SBOM 与供应链可见性，以及两类高频漏洞（SQL 注入、XSS）的编码与配置防线。与合规与隐私、身份与 API 衔接，可形成从代码到运行时的纵深防御叙事。

在技能中心中位于「安全与合规」段首。下列五条与技能中心本类条目一致。

快速入口

威胁建模与检查项。

误报处理与轮换。

供应链透明与溯源。

参数化与最小权限。

编码与 CSP。

从 STRIDE 等模型导出可勾选条目，覆盖鉴权、会话、日志脱敏与依赖面；适合版本发布前或等保/渗透前的自查基线。

在 pre-commit 与 CI 中扫描仓库与构建日志中的令牌，建立误报分流与泄露后轮换流程；与 KMS、短期凭证策略配合。

生成 SPDX/CycloneDX 等物料清单，关联 CVE 与许可证义务；支撑漏洞响应与采购审计，与许可证合规条目交叉。

强制参数化查询、最小数据库账号权限、ORM 安全用法；对动态 SQL 建立白名单与代码评审重点。

输出编码、模板自动转义、CSP 与可信类型；区分存储型、反射型与 DOM 型场景，前后端协同收口。