安全软件开发

分析软件依赖项中已知的CVE、供应链风险以及npm、pip、Maven等生态系统中的过时软件包。

使用STRIDE、PASTA和攻击树方法为软件系统构建结构化威胁模型，以早期识别安全风险。

设计安全的REST和GraphQL API，包含适当的身份验证、授权、速率限制、输入验证以及OWASP API安全控制。

跨多种语言和框架审查源代码中的安全漏洞、不安全模式及OWASP风险。

设计并实现安全认证系统，包括OAuth 2.0、MFA、无密码登录、会话管理以及身份提供商集成。

为工程团队设计和实施安全软件开发生命周期（SSDLC）计划、DevSecOps流水线及安全门控。

获取关于在软件中选择和实施加密算法、密钥管理、TLS配置及安全哈希的专业指导。

使用Vault、AWS Secrets Manager及最佳实践，为API密钥、凭证和证书设计安全的机密管理架构。