感谢您发送咨询!我们的团队成员将很快与您联系。
感谢您发送预订!我们的团队成员将很快与您联系。
课程大纲
Python安全基础与工具
- Python 3.x安全基线:版本考虑、PEP标准和安全安装实践
- 专业IDE配置:VS Code/PyCharm安全扩展、linters(Flake8、Pylint)和调试器
- 环境隔离:
venv/conda、容器化和可重复的实验室设置 - 实验:配置一个集成了安全代码检查和依赖跟踪的安全Python工作空间
核心语言安全与安全数据处理
- 数字类型与精度:避免浮点操作攻击和安全类型转换
- 字符串与编码:Unicode规范化、编码验证和防止插值漏洞
- 列表、字典和集合:安全数据结构、哈希碰撞缓解和安全序列化
- 正则表达式与模式匹配:构建安全的正则表达式(防止ReDoS)、输入验证模式
- 实验:将不安全的数据处理代码重写为安全、验证和类型提示的实现
控制流、函数与安全架构
- Python语句与表达式:安全赋值、异常处理和避免静默失败模式
- If测试与语法规则:安全条件逻辑、防止动态执行漏洞(
eval/exec/pickle) - 循环语句:安全循环结构、防止资源耗尽和超时处理
- 函数与封装:安全参数传递、类型提示和函数级威胁建模
- 实验:将脆弱的控制流重构为安全、可审计和防御性的代码模式
模块、包与环境范围安全(Python skope-rules)
- 模块导入安全:避免循环导入、安全包解析和命名空间隔离
- 依赖管理:
pip/requirements.txt、锁文件、供应链安全和漏洞包检测 - 秘密与凭证管理:环境变量、
.env最佳实践和防止硬编码秘密 skope-rules实现:范围绑定访问控制、运行时策略执行和依赖隔离- 实验:审计Python项目的依赖树并实施环境范围的安全策略
Python特定漏洞与缓解
- OWASP Python/WSGI/ASGI应用十大漏洞:注入、认证绕过、不安全反序列化、SSRF和路径遍历
- 安全I/O与文件处理:安全文件描述符、防止目录遍历和沙箱执行
- Python中的Web与API安全:安全请求处理、输出编码和框架级保护(FastAPI/Flask/Django)
- 实验:在示例应用中使用安全替代方案识别和修补Python特定漏洞
自动化安全测试与DevSecOps集成
- Python的SAST工具:Bandit、Semgrep和自定义规则创建以进行范围漏洞检测
- DAST与依赖扫描:
pip-audit、Safety和OWASP ZAP集成以进行运行时威胁发现 - CI/CD管道安全:GitHub Actions/GitLab CI工作流以自动化Python安全门和合规性报告
- 安全测试方法:Python微服务的威胁建模、模糊测试基础和运行时保护
- 实验:构建自动化Python安全扫描管道并解释修复报告
总结、回顾与安全开发路径
- 端到端的安全Python开发工作流模拟
- 安全代码审查:识别反模式、应用安全修复和记录决策
- 问答、资源分发(安全编码备忘单、Python安全库、官方标准、
skope-rules模板) - 课程结束及Python安全精通的下一步
要求
任何编程语言的基础知识
信息安全的基础知识
14 小时
客户评论 (2)
与内容相关的实践练习确实有助于更好地理解每个主题。此外,以讲座开始课程并继续进行实践练习的方式很好,有助于将练习与之前介绍的讲座内容联系起来。
Nazeera Mohamad - Ministry of Science, Technology and Innovation
课程 - Introduction to Data Science and AI using Python
机器翻译
示例/练习完美适应我们的领域
Luc - CS Group
课程 - Scaling Data Analysis with Python and Dask
机器翻译
