1.库的安全性
上传鉴权(接口部分对内容鉴权)
2.客户端代码/库数据脱敏处理
(客户敏感数据监控-手机号,敏感词)
3.终端安全保护—— mcafee兼容
4.客户端安全扫描集成到CI,dev ops 构建,更新代码,构建流程,做安全检测
5.公有云API Key泄露
6.新增SQL执行效率审计
7.接口脱敏(掩码在服务端处理)
8.不要上传公司相关的代码到github,百度网盘,语雀公开
(可以通过扫描关键词,github接口)
9.iast
API - 认证 授权 凭证
- HMAC(AK/SK)认证方式,微信小程序-据code获取openid 的时候需要 appid appSecret
- token 凭证
- JWT 凭证的一种,复杂的token
等保测评
- https://baike.baidu.com/item/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E7%AD%89%E7%BA%A7%E4%BF%9D%E6%8A%A4/
- 信息安全等级保护
- 找第三方的公司进行
浏览器安全
- https://microsoftedge.github.io/edgevr/posts/bug-bounty-hunter-to-working-at-microsoft/
snyk
- https://security.snyk.io/
- 依赖vulnerable package
