# 中文书名:Angular 应用安全编程 # Book Title: Securing Angular Applications Google Angular Team 编著 北京 • BEIJING Powered by TCPDF (www.tcpdf.org) ## 序 Angular 是一个开发平台。它能帮你更轻松的构建 Web 应用。Angular 集声明式模板、依赖注入、端到 为开发者提升构建 Web、手机或桌面应用的能力。 Powered by TCPDF (www.tcpdf.org) ## 前言 Web 应用程序的安全涉及到很多方面。针对常见的漏洞和攻击，比如跨站脚本攻击，Angular 提供了一些内置的保护措施。 Powered by TCPDF (www.tcpdf.org) ## 目录 序 前言 第一部分 Angular 应用基础 第一章 核心知识 第二部分 Angular 应用安全防范 第三章 最佳实践 3.1 最佳实践 3.2 防范跨站脚本（XSS）攻击 3.2.1 Angular 的“跨站脚本安全模型” 3.2.2 listings examples 附录 A Angular CLI 索引 Powered by TCPDF (www.tcpdf.org) # PART I Angular 应用基础 Powered

## 以SBOM为基础的 云原生应用安全治理 董毅@悬镜安全 ## 一 瓶“牛奶”——你会喝吗？  ## 安全的保障——成分清单和监管机构 • 成分清单用于实现可见性（透明度） • 监管机构保障成分清单的可信度 |<Link>@rel, @href| ## 云原生应用安全风险面  开发模式：瀑布 > > 敏捷 > DevOps  应用架构：大型系统 > SOA > 微服务 ![Image](/uploads/documents/4/7/9/f/479f6f4cd10c2e8be249f5d2bdcd7a6e/p5_4

## 数字签名在云原生应用安全中的实践 小马哥 Agenda 1. 何为数字签名，数字签名为何？ 2. 为何要对容器镜像进行签名 3. 使用 cosign 对容器镜像进行签名验证 4. Demo show ## 一 段唯美爱情的悲伤结局！ 小美，等我 小美， 不要等我 KUBERNETES COMMUNITY DAYS DALIAN 截获 篡改 ## 什么是数字签名 文档或消息，公钥用于解密。这个过程确保只有能否认发送它。 数字签名通常用于电子商务、在线银行和其他需法，用于确保电子文档和消息的真实性和完整性 防止数据被篡改，保证数据的完整性、机密性，从而提高安全性！ ## 数字签名的好处是什么  名，因此发送者无法否认曾经发送过文档或消息。 4. 安全性：数字签名可提供高水平的安全性，可用于确保消息和文档的机密性和隐私性。这些签名可用于安全地交换信息，如电子邮件、电子商务和在线交易。 总的来说，数字签名可以提供保护文档或消息完整性和真实性的保障，同时提供可信的身份验证和防止否认的保障。这些优点使数字签名成为在数字环境中保护信息安全的一种重要手段。 ## 云原生时代：容器是核心，镜像是灵魂

## Kubernetes安全求生指南 唐資生 Jason Tang, VMware 資深架構師 ## 本日議程 您的Kubernetes環境夠安全嗎？ Kubernetes安全最佳實務 VMware Enterprise PKS平台如何實踐K8s與容器的安全強化 最困難的部分其實是... 總結 您的Kubernetes環境夠安全嗎？  ## 您知道嗎？ 整個Kubernetes運作環境是相當不安全的... ☑ 原生Kubernetes在安全設計上就有許多改善空間 ☑ 公版Kubernetes許多預設值是不適當的 關於網路層級的安全實際上還有許多地方並未涵蓋 ☑ 設計上並不特別考慮企業多團隊/多應用的分工與隔離 ☑ 有非常多層次例如: 容器/映像/作業系統/基礎架構也須涵蓋 .jpg) ## 隨便Google就可找到好幾卡車的Kubernetes安全最佳實務/指南 ## 但是 您知道所謂“安全”的“標準”是什麼？ 這些“標準”涵蓋範圍夠嗎？足夠讓我們安心推上生產嗎？ 我們具體該怎麼做來強化安全？ 我們怎麼知道我們做強化安全以後有滿足這個標準...還是這些標準? 我們該如何確保安全性在未來開發/維運一直維持達標? 我們如何用最低的負荷與最快的速度完成上述任務？

6.3 6.4 目錄 介紹 第1章 Linux安全渗透简介 1.1 什么是安全渗透 1.2 安全渗透所需的工具 1.3 Kali Linux简介 1.4 安装Kali Linux 1.5 Kali更新与升级 1.6 基本设置 第2章 配置Kali Linux 2.1 准备内核头文件 2.2 安装并配置NVIDIA显卡驱动 2.3 应用更新和配置额外安全工具 2.4 设置ProxyChains 2.5 5 目录加密 第3章 高级测试实验室 3.1 使用VMware Workstation 3.2 攻击WordPress和其他应用程序 第4章 信息收集 4.1 枚举服务 4.2 测试网络范围 4.3 识别活跃的主机 4.4 查看打开的端口 4.5 系统指纹识别 4.6 服务的指纹识别 4.7 其他信息收集手段 4.8 使用Maltego收集信息 4.9 绘制网络结构图 第5章 漏洞扫描 5.1 使用Nessus 使用Nessus 5.2 使用OpenVAS 第6章 漏洞利用 6.1 Metasploitable操作系统 6.2 Metasploit基础 6.3 控制Meterpreter 6.4 渗透攻击应用 大学霸 Kali Linux 安全渗透教程 2 6.5 7 7.1 7.2 7.3 7.4 8 8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 8.9 9 9.1 9.2 9.3 9.4 9.5

4376/p1_1.jpg) ## 人工智能 安全治理框架 全国网络安全标准化技术委员会 2024年9月 ## 目录 1. 人工智能安全治理原则 ..... 1 2. 人工智能安全治理框架构成 ..... 2 3. 人工智能安全风险分类 ..... 3 3.1 人工智能内生安全风险 ..... 3 3.2 人工智能应用安全风险 ..... 5 4. 技术应对措施 .. 针对人工智能内生安全风险 ..... 7 4.2 针对人工智能应用安全风险 ..... 9 5. 综合治理措施 ..... 10 6. 人工智能安全开发应用指引 ..... 12 6.1 模型算法研发者安全开发指引 ..... 12 6.2 人工智能服务提供者安全指引 ..... 13 6.3 重点领域使用者安全应用指引 ..... 14 6.4 社会公众安全应用指引 ... 人工智能安全治理框架 (V1.0) 人工智能是人类发展新领域，给世界带来巨大机遇，也带来各类风险挑战。落实《全球人工智能治理倡议》，遵循“以人为本、智能向善”的发展方向，为推动政府、国际组织、企业、科研院所、民间机构和社会公众等各方，就人工智能安全治理达成共识、协调一致，有效防范化解人工智能安全风险，制定本框架。 ### 1. 人工智能安全治理原则 秉持共同、综合、合作、可持续的安全观，坚持

## Kubernetes Community Days ## 云原生企业级安全的最佳实践 Li Ma Kubernetes Community Days ## Cloud Native Security  ![Image](/upl registries||Contoso Hotels|||On|||...••| |□|m-kub-clust|Kubernetes services||Contoso Hotels|||On|||...••| ## 云原生企业级安全的最佳实践 ## 手 Kubernetes Community Days ![Image](/uploads/documents/4/d/0/1/4d01fba3c6f39b2aa774c9e9a67d86f6/p14_1

基于静态分析的Rust内存安全缺陷检测研究 报告人：徐辉 复旦大学 报告日期：2022.11.25 ## 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 ## 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 ## Rust语言 ## 系统级安全编程语言 ■ 内存安全 ■ 并发安全 并发安全 ☑ 效率 Mozilla员工Graydon Hoare的私人项目 Self-hosting 2006年  2011年  AWS, Huawei, Google, Microsoft, Mozilla... ## Rust如何保障内存安全？ ☐ 内存安全问题产生的主要原因之一是指针别名导致悬空指针 ■ 手动释放内存或调用析构函数 函数返回时发生的自动析构或内存释放 ☐ Rust设计的目标之一是编译时检查指针别名（共享可变引用） 但一般意义上的指针分析是NP-hard问题

## Istio Meetup China 服务网格安全—— 理解 Istio CNI 张之晗 Tetrate 工程师/Istio 社区 Release Manager ## About me Istio 1.10 Release Manager, Istio Community, 2021-Present GetMesh(GetIstio) core contributor, Istio