全部课程
计算机科学

应用安全、身份与访问管理及零信任

甄选并验证:Aarav Deshmukh, Cybersecurity Engineer, Honeywell
学习时长:约 10 小时
授课语言English · 简体中文 · Español
US$24.00永久访问
结业证书可验证 · 可分享
预览

你可以发布一个功能完美运行,但却依然漏洞百出。登录成功,API返回数据,部署显示绿色——然而用户仍然可以读取其他客户的记录,一个从博客复制的OAuth流程信任了它从未验证的令牌,一个拥有管理员权限的服务凭证躺在环境变量中,而“它在VPN后面”承担了所有的安全工作。这些在通过测试时都不会显现。 本课程面向那些构建、运行和审查这些系统的人——开发者、云工程师、安全分析师、架构师——并教你一个可复用的方法,适用于任何应用:映射信任边界和威胁,正确验证每个主体,按最小权限授权每个操作,然后持续验证一切,就好像网络已经被攻破。 在此过程中,它解决了工程师们常犯的错误,因为建议变了,却没人告诉他们。身份验证不等于授权。OAuth不用于用户登录——OpenID Connect才做,而ID令牌不是访问令牌。签名的JWT可读而非秘密,“解码了”不等于“有效”。强制90天更换密码反而更糟,NIST现在这么说了。零信任是一种架构设计,不是买来的产品。 你将基于真正的权威资料——OWASP Top 10和ASVS、NIST的身份与零信任指南、OAuth和OIDC规范、CISA成熟度模型——这样你就能阅读原始材料而不是道听途说,并随着它的发展保持跟进。这是一门构建与防御的课程,而不是漏洞目录:每个缺陷都教你在自己的代码中识别并设计排除。 最终,安全审查不再是发生在你代码上的事情,而是你自己能够执行的事情。

课程目录

关于课程作者

Aarav Deshmukh
Aarav Deshmukh
Cybersecurity Engineer, Honeywell

Aarav Deshmukh is the person organizations call when the dashboard turns red—and, increasingly, before it ever does. Across financial services, healthcare, and cloud software, he has progressed from investigating alerts in security operations centers to designing defenses for entire technology environments. Her experience spans threat hunting, penetration testing, digital forensics, malware analysis, identity and access management, cloud architecture, and secure software development, complemented by responsibility for audits, incident exercises, and executive breach briefings. Aarav has rebuilt detection programs, embedded security reviews into engineering pipelines, and converted complex regulatory requirements into controls that technical teams can realistically maintain. He judges a security program not by the number of tools it owns, but by how quickly it can recognize an attack, contain the damage, and continue operating.

评价 (1)

5 / 5
  • sneaky_lion

    love it