# 安全工程指南 ## 概述本指南涵盖应用程序安全、基础设施强化、威胁建模、漏洞管理和安全操作。在设计身份验证系统、检查代码是否存在安全问题、在 CI/CD 中设置安全扫描、响应事件、管理机密或确保符合安全框架时使用它。 ## 前 10 分钟 * 在建议修复之前映射攻击面：公共路由、身份验证入口点、管理路径、文件上传/下载流、第三方回调和机密加载路径。 * 首先从技能目录运行捆绑的脚本，而不是正在审查的存储库：“engineering-security-engineer/scripts/scan_secrets.sh”和“engineering-security-engineer/scripts/audit_auth_surface.py”。 * 对于大型移动/Web 存储库，从高信号树开始，例如 `src`、`app`、`server`、`api`、`config` 和 `scripts`；仅在需要时扫描完整的存储库。 * 首先使用`scripts/scan_secrets.sh`。秘密曝光立即改变优先级。 * 在检查登录或授权更改之前，在与清单身份验证相关的文件和会话/令牌模式旁边使用“scripts/audit_auth_surface.py”。 * 确定任务中风险最高的信任边界：浏览器到 API、API 到服务、服务到数据库或 CI 到云。 ## 拒绝或升级 * 拒绝批准跳过授权检查、输入验证或“稍后”审核日志记录的安全敏感更改。 * 当任务涉及凭证暴露、生产中不安全的直接对象访问或可疑的泄露时，立即升级。 * 在没有记录确切的破坏和最窄的安全异常的情况下，不建议削弱 CSP、CORS 或 cookie 设置。 * 如果请求的解决方案与系统中已指定的法律或合规义务相冲突，则升级。 ## 威胁建模 ### 何时威胁模型 * 在构建任何处理用户数据、身份验证、授权、支付或文件上传的新功能之前。 * 添加新的外部依赖项、第三方集成或 API 端点时。 * 当更改数据流（新数据库、新缓存、新队列）或访问模式时。 * 每季度审查处理 PII、财务数据或健康数据的系统的现有威胁模型。 ### 跨步框架对于系统中的每个组件，评估： * **欺骗**：攻击者可以冒充合法用户或服务吗？缓解措施：强身份验证（MFA、双向 TLS、带轮换的 API 密钥）。 * **篡改**：数据可以在传输中或静态时修改吗？缓解措施：用于传输的 TLS 1.2+、用于休息的 AES-256/KMS、用于完整性验证的 HMAC 签名。 * **否认**：用户可以否认执行某项操作吗？缓解措施：包含时间戳、用户 ID、操作和 IP 的不可变审核日志。发送到应用程序无法修改的单独日志存储。 * **信息泄露** ：敏感数据是否会通过日志、错误消息、API 响应或侧通道泄漏？缓解措施：从日志中清除 PII，向客户端返回通用错误消息，对机密使用恒定时间比较。 * **拒绝服务**：系统会被淹没吗？缓解措施：速率限制、请求大小限制、超时强制、具有成本上限的自动扩展。 * **权限提升**：用户可以获得未经授权的访问吗？缓解措施：每一层的 RBAC/ABAC、最小权限原则、所有信任边界上的输入验证。 ### DREAD 风险评分对于每个已识别的威胁，在以下方面评分 1-10： * **损害**：如果被利用的话有多严重？（10 = 全面数据泄露，1 = 表面问题） * **再现性**：再现有多容易？（10 = 每次，1 = 需要罕见条件） * **可利用性**：需要多少技能/工具？（10 = 脚本小子，1 = 民族国家） * **受影响的用户**：有多少用户受到影响？（10 = 所有用户，1 = 单个用户） * **可发现性**：容易找到吗？（10 = 公开可见，1 = 需要内部访问）平均分决定优先级：>7 = 严重（发布前修复），5-7 = 高（冲刺内修复），3-5 = 中（季度内修复），<3 = 低（积压）。 ## OWASP 十大决策规则 ### A01：访问控制损坏 * 每个 API 端点必须检查身份验证和授权。在网关处进行身份验证是不够的 - 在服务中再次检查。 * 使用默认拒绝：如果没有明确的权限授予访问权限，则请求将被拒绝。 * 测试 BOLA（损坏的对象级授权）：使用属于其他用户的 ID 请求资源。必须返回 403 或 404，不能返回其他用户的数据。 * 测试 BFLA（损坏的功能级授权）：使用常规用户令牌调用管理端点。必须返回403。 * 对所有端点实施速率限制：默认为 100 请求/分钟，身份验证端点为 10 请求/分钟，密码重置为 5 请求/分钟。 ### A02：加密失败 * 使用 bcrypt（成本因子 12+）或 Argon2id 进行密码散列。切勿使用 MD5、SHA-1 或 SHA-256 作为密码。 * 使用 AES-256-GCM 加密所有静态 PII 或使用提供商管理的 KMS（AWS KMS、GCP KMS）。切勿将加密密钥与加密数据一起存储。 * 对所有连接强制执行 TLS 1.2+。拒绝 TLS 1.0/1.1。使用带有 `max-age=31536000 的 HSTS 标头；包括子域；预加载`。 * 切勿在 API 响应或错误消息中记录或返回机密、令牌、密码或完整信用卡号。掩码为最后 4 位数字。 ### A03：注射 * 对所有数据库操作专门使用参数化查询。切勿通过字符串与用户输入连接来构造 SQL/NoSQL 查询。 * 验证并清理 API 边界处的所有用户输入。使用具有严格类型的模式验证器（Zod、Joi、Pydantic），而不仅仅是字符串解析。 * 对于 HTML 输出，使用默认启用自动转义的模板引擎（React JSX、带自动转义的 Jinja2、Go html/template）。 * 对于操作系统命令执行，请使用语言本机库（而不是 `exec`/`system`）。如果 shell 执行不可避免，请对允许的字符使用允许列表，而不是阻止列表。 ### A04：不安全的设计 * 应用深度防御：身份验证+授权+输入验证+输出编码+加密+日志记录。单层是不够的。 * 限制每个用户的资源消耗：最大文件上传大小（默认10MB），最大请求正文大小（默认1MB），最大查询结果（默认100，最大1000）。 * 15分钟内5次登录尝试失败后实施帐户锁定。使用渐进延迟（1 秒、2 秒、4 秒、8 秒、16 秒）而不是硬锁定以获得更好的用户体验。 ### A05：安全配置错误 * 在生产中禁用目录列表、调试端点和堆栈跟踪。检查：“curl -v https://yourapp.com/debug”、“curl https://yourapp.com/.env”。 * 在所有响应上设置安全标头：内容安全策略：default-src 'self'；脚本-src'自我'； style-src 'self' '不安全内联'; img-src“自身”数据：https：；字体-src'自我'； connect-src 'self' https://api.yourapp.com;框架祖先“无” X-内容类型选项：nosniff X 帧选项：拒绝推荐人策略：跨源时严格源权限策略：摄像头=()、麦克风=()、地理位置=() * 在部署之前删除默认凭据、示例数据和未使用的端点。使用“scripts/check_security_headers.sh”进行扫描。 ### A06：易受攻击和过时的组件 * 在 CI 中运行 `npmaudit` / `pipaudit` / `bundleaudit`。使关键或高严重性发现的构建失败。 * 每月更新依赖项。对于安全补丁，请在发布公告后 48 小时内更新。 * 在添加新依赖项之前，请检查：最后提交日期（<12 个月）、下载计数（JS > 1k/周，Python > 500/周）、开放 CVE（零关键）和维护状态（> 1 个活跃维护者）。 * 在锁定文件中固定确切的依赖版本。使用 Renovate 或 Dependabot 通过测试运行来自动升级 PR。 ### A07：身份验证失败 * 所有管理员帐户以及任何有权访问 PII 或财务数据的帐户都需要 MFA。 * 使用存储在服务器端的不透明刷新令牌发出短期访问令牌（15 分钟 JWT）。刷新令牌必须是可轮换和可撤销的。 * 实施密码要求：至少 8 个字符，检查违反的密码列表（Have I Been Pwned API 或本地 k-匿名检查），最大长度不小于 128 个字符。 * 会话管理：登录后重新生成会话 ID，在所有 cookie 上设置 `Secure`、`HttpOnly`、`SameSite=Strict`。对于敏感应用程序，空闲会话将在 30 分钟后过期。 ### A08：软件和数据完整性故障 * 验证所有 CI/CD 工件的完整性：签署 Docker 映像（共同签名/公证）、验证下载的二进制文件的校验和、使用锁定文件确保依赖项完整性。 * 将 CI/CD 操作版本固定到 SHA，而不是标签：“uses: actions/checkout@a81bbbf”而不是“uses: actions/checkout@v4”。标签可以移动； SHA 不能。 * 为从 CDN 加载的任何第三方脚本实施子资源完整性 (SRI)。 ### A09：安全日志记录和监控失败 * 记录所有：身份验证事件（登录、注销、尝试失败、MFA 质询）、授权失败（403 秒）、输入验证失败（400 秒）、管理操作和对 PII 的数据访问。 * 切勿记录：密码、令牌、会话 ID、完整信用卡号或其他机密。遮盖敏感区域。 * 将日志发送到与应用程序分开的集中式、仅附加系统（CloudWatch、Datadog、Splunk）。保留：热保存 90 天，冷保存 1 年以符合要求。 * 警报如下：5 分钟内同一 IP 的登录尝试失败次数超过 10 次、工作时间以外的任何管理操作、对批量 PII 导出的任何访问以及 5xx 错误率 >1%。 ### A10：服务器端请求伪造 (SSRF) * 验证用户提供的所有 URL 并将其列入白名单。阻止对内部 IP 范围的请求：“10.0.0.0/8”、“172.16.0.0/12”、“192.168.0.0/16”、“127.0.0.0/8”、“169.254.169.254”（云元数据）。 * 如果应用程序需要获取外部 URL，请使用专用 HTTP 客户端：DNS 解析仅限于公共 IP、请求超时（5 秒）和响应大小限制（10MB）。 * 对于云环境，禁用 IMDS v1 并需要 IMDSv2 (AWS) 或同等版本。元数据端点是最常见的 SSRF 升级向量。 ## 秘密管理 ### 规则 * 切勿将机密提交给源代码管理。对“.env”文件使用“.gitignore”，并在 CI 中运行“git-secrets”或“trufflehog”来捕获意外提交。 * 将机密存储在：HashiCorp Vault、AWS Secrets Manager、GCP Secret Manager 或 Azure Key Vault。在运行时通过环境变量或 sidecar 注入。 * 按计划轮换机密：API 密钥每 90 天一次，数据库密码每 90 天一次，加密密钥每 365 天一次。自动旋转 - 跳过手动旋转。 * 如果秘密被暴露（提交到 git、记录或发送给未经授权的一方）：立即撤销、轮换、审计暴露窗口的访问日志，并通知受影响的用户 PII 是否可访问。 ### CI 中的秘密检测 * 在每个 PR 上运行 `trufflehog` 或 `gitleaks`。阻止合并任何发现。 * 扫描 Docker 镜像中嵌入的秘密：`docker History --no-trunc ` 并检查包含秘密的 ENV/ARG。 * 检查 Terraform 状态文件中的秘密：对所有秘密变量使用 `sensitive = true`。将状态加密存储在 S3 中并限制访问。 ## 供应链安全 * 使用锁定文件（package-lock.json、poetry.lock、go.sum）并验证完整性哈希值。 * 固定 GitHub Actions 以提交 SHA，而不是标签。使用前请查看操作源代码。 * 在 CI 中运行 SCA（软件组合分析）：Snyk、Grype 或 `npmaudit --audit-level=high`。阻止合并关键/高发现值。 * 对于 Docker 基础镜像，使用特定版本标签（不是“最新”），验证摘要，并每月重建镜像以获取安全补丁。 * 维护生产应用程序的软件物料清单 (SBOM)。使用 `syft` 或 `trivy sbom` 生成。 ## API安全决策规则 * 验证每个 API 调用。公共端点仍然必须具有速率限制和滥用检测。 * 将 OAuth 2.0 + PKCE 用于面向用户的 API。使用具有 HMAC 签名的 API 密钥进行服务到服务。对内部高安全性服务使用相互 TLS。 * 使用严格的模式验证请求主体。拒绝未知字段（无批量分配）。强制执行最大有效负载大小。 * 返回一致的错误响应，不会泄漏实现细节。 `{"error": "invalid_request", "message": "Validation failed"}` — 绝不出现堆栈跟踪或 SQL 错误。 * 为 Webhook 实施请求签名：使用共享密钥的 HMAC-SHA256。在签名中包含时间戳以防止重放攻击（如果超过 5 分钟则拒绝）。 ## 自验证协议实施安全控制后，验证： * **Auth** ：测试使用：无令牌（预计为 401）、过期令牌（预计为 401）、有效令牌错误角色（预计为 403）、有效令牌正确角色（预计为 200）。测试每个端点，而不仅仅是您更改的端点。 * **输入验证** ：将 OWASP 测试有效负载发送到每个输入字段：`' OR '1'='1`、``、`../../../etc/passwd`、`; ls -la`，`{{7*7}}`。所有人都必须被拒绝或安全逃脱。 * **标头** ：运行 `curl -I https://yourapp.com` 并验证所有安全标头是否具有正确的值。 * **秘密** ：搜索整个存储库： `git log --all -p | grep -iE '(密码|秘密|api.key|令牌).*=.*[A-Za-z0-9]{8,}'`。真正秘密的零匹配。 * **依赖项**：运行`npmaudit`/`pipaudit`/`trivyimage`。零严重或高漏洞。 * **日志记录** ：执行登录、登录失败、授权失败和数据访问。验证日志系统中显示的所有四个事件的字段是否正确。 * **速率限制** ：在 1 分钟内向速率受限的端点发送 200 个请求。验证 429 响应是否出现在配置的阈值处。 ## 故障恢复 * **报告的安全漏洞**：在 1 小时内使用 DREAD 评估严重性。严重（>7）：24小时内修补，通知受影响的用户。高 (5-7)：7 天内修补。中 (3-5)：30 天内修补。低 (<3)：添加到待办事项中。 * **在 git 中暴露的秘密**：立即：(1) 旋转秘密，(2) 撤销旧秘密，(3) 在暴露窗口期间搜索日志以查找未经授权的使用，(4) 使用 `git filter-branch` 或 BFG 从历史记录中删除，(5) 强制推送。如果可以访问数据，请通知受影响的用户。 * **检测到 DDoS** ：启用 CDN 级 DDoS 防护（攻击模式下的 Cloudflare、AWS Shield）。提高速率限制阈值。如果攻击源自特定区域，则启用地理封锁。扩展基础设施仅作为最后的手段——它成本高昂，而且攻击者也可以扩展。 * **泄露的凭据**：立即：(1) 禁用泄露的帐户，(2) 轮换该帐户有权访问的所有机密，(3) 在泄露窗口期间查看帐户操作的审核日志，(4) 通知用户并要求通过 MFA 重新注册重置密码。如果受损帐户是服务帐户，请另外检查它有权访问的所有系统是否有横向移动的迹象。 * **失败的安全扫描阻止部署**：切勿绕过扫描。阅读调查结果。如果是真阳性，请修复它。如果是误报，请添加明确的抑制，并附上解释原因的注释和审核日期（最多 90 天）。如果扫描工具损坏，请修复该工具 - 不要禁用它。 ## 现有系统安全审计在评估现有系统的安全性时： 1. **绘制攻击面**（30 分钟）— 列出所有内容：公共端点、身份验证机制、数据存储、外部集成、文件上传/下载功能和管理界面。 2. **检查身份验证**（15 分钟）— 令牌是如何发行、验证和撤销的？ MFA 可用吗？会话管理是否正确？在 5 个端点上测试 BOLA。 3. **检查机密**（15 分钟）— 在存储库上运行 `trufflehog`。检查环境变量管理。验证机密不在 Docker 映像、日志或 Terraform 状态中。 4. **检查依赖关系**（10 分钟）— 运行 `npmaudit`/`pipaudit`/`trivy`。计算关键和重要的发现。 5. **检查标头**（5 分钟）— 在生产 URL 上运行“scripts/check_security_headers.sh”。标记缺失的标头。 6. **检查日志记录**（10 分钟）— 是否记录了身份验证事件？日志是否传送到集中式系统？应用程序可以修改自己的日志吗？ 7. **检查数据处理**（10 分钟）— PII 静态时是否加密？所有流量都通过 TLS 传输吗？备份是否加密？谁有权访问生产数据？ 8. **确定发现的优先顺序** — 对每个发现进行“恐惧”评分。按风险评分显示前 5 名，并提供具体的补救步骤和工作量估计。 ## 可交付成果 * 威胁摘要列出了信任边界、可能的滥用路径以及按 DREAD 评分列出的最高风险。 * 具有优先级、利用先决条件和所有者的修复计划。 * 验证清单，涵盖授权、机密、标头、依赖项和审核日志。 * 如果任务是事件响应：时间线、遏制行动、轮换状态和后续验证步骤。 ## 合规性快速参考 ### SOC 2 * 访问控制：RBAC，每季度进行访问审查。记录谁可以访问什么以及为什么。 * 变更管理：通过带有评论的版本控制 PR 进行的所有变更。没有直接的生产访问权限。 * 监控：集中记录，保留 1 年。对未经授权的访问尝试发出警报。 * 事件响应：记录程序，每年测试。对所有安全事件进行事后分析。 ### GDPR * 数据清单：记录收集的所有 PII、存储位置、收集原因以及保留期限。 * 同意：在处理之前收集明确同意。让选择退出与选择加入一样简单。 * 删除权：实施数据删除管道，从所有存储中删除用户数据（包括保留期内的备份）。 * 数据泄露通知：72 小时内通知监管机构。 “立即”通知受影响的用户。 ### 健康保险流通与责任法案 * 加密所有静态 (AES-256) 和传输中 (TLS 1.2+) 的 PHI。没有例外。 * 访问控制：最低必要原则。记录对 PHI 的所有访问，包括用户、时间戳和目的。 * 与所有处理 PHI 的供应商签订业务合作协议 (BAA)。 * 对所有具有 PHI 访问权限的人员进行年度风险评估和安全培训。 ## 脚本 ### `scripts/check_security_headers.sh` 检查给定 URL 的 HTTP 安全标头。测试：Content-Security-Policy、X-Content-Type-Options、X-Frame-Options、Strict-Transport-Security、Referrer-Policy 和 Permissions-Policy。报告缺失、配置错误并显示带有等级的标题。脚本/check_security_headers.sh https://yourapp.com 脚本/check_security_headers.sh --json https://api.yourapp.com ### `脚本/scan_secrets.sh` 扫描目录或 git 存储库以查找意外提交的机密。检查：API 密钥、AWS 凭证、私钥、数据库连接字符串、JWT 机密、通用令牌分配和常见凭证模式。默认情况下，它会跳过生成的/供应商树，例如“www/”、“platforms/”、“Pods/”、“dist/”和“build/”以减少噪音。脚本/scan_secrets.sh 。脚本/scan_secrets.sh --git-history /path/to/repo 脚本/scan_secrets.sh --format json /path/to/project ### `scripts/audit_auth_surface.py` 扫描存储库中的身份验证、会话、令牌、cookie 和中间件热点。默认情况下，它会跳过生成的/供应商树，例如“www/”、“platforms/”、“Pods/”、“dist/”和“build/”。在检查登录流程、RBAC 更改或会话安全性之前使用此功能。脚本/audit_auth_surface.py 。脚本/audit_auth_surface.py /path/to/repo --top 20 ## 参考文献 * [Auth Patterns]() \-- JWT + 刷新令牌流、OAuth 2.0 PKCE、会话管理、MFA 实现、RBAC/ABAC 模型和 API 密钥管理。 * [Security Headers]() \-- 常见框架（React、Next.js、Express）的 CSP 配置、HSTS 设置和安全标头测试。 * [漏洞模式]() \-- Node.js、Python 和 Go 的 OWASP Top 10 代码示例（易受攻击和修复的版本），具有自动化测试模式。 * [事件响应]() \-- 事件响应操作手册、严重性分类、通信模板、事后分析模板和根本原因分析框架。 * [合规性清单]() \-- SOC 2、GDPR、HIPAA 和 PCI-DSS 实施清单以及证据收集指南。

工程安全工程师

包含技能