跳至主要內容
>_ITDITD網站資安平台
tag

dependency management

該標籤下有 4 篇文章

2026-07-02

Express(Node.js)的資安對策 — 正式環境強化實務參考

Express 是最小主義——預設幾乎什麼都不守,所以防禦要自己補上。本頁是實務參考:(1)附優先度的強化檢查表(P0〜P2) (2)分領域的具體對策=安全性標頭(helmet)+停用 x-powered-by、npm 相依套件 CVE、輸入驗證與注入(SQL/NoSQL 運算子)、驗證與擁有者範圍的授權、速率限制與大小上限、工作階段/cookie/CSRF、SSRF、正式環境錯誤處理(不暴露堆疊)、NODE_ENV (3)自我檢驗檢查。只談防禦與點檢,不含攻擊步驟。

2026-07-02

Next.js 資安 — 正式環境的加固參考

Next.js 的預設相當安全,但事故發生在伺服器與用戶端的邊界。這是一份可實作的參考:(1) 依優先順序排列的加固清單(P0–P2),(2) 各面向的指引——邊界與環境變數(NEXT_PUBLIC_)、相依套件 CVE(含核心 RCE)、Server Actions/Route Handlers 授權+輸入驗證、伺服器端抓取的 SSRF、安全標頭/CSP、驗證/工作階段/cookie、速率限制,以及 (3) 自我驗證清單。純防禦——不含攻擊步驟。

2026-07-02

Ruby on Rails 的資安對策 — 正式環境強化實務參考

Rails 內建慣例與安全的預設(CSRF 保護、Strong Parameters、ORM),但正式環境的事故來自維運。本頁是可實作的參考:(1) 依優先度排序的強化清單(P0–P2)(2) 各領域指引——秘密與 credentials(master key/secret_key_base)、正式環境設定(force_ssl、不外露例外)、gem CVE、Strong Parameters/Mass Assignment、授權(Pundit、擁有者範圍)、注入與危險方法(where 串接/send/constantize)、工作階段/cookie/CSRF、SSRF/上傳,以及 (3) 自我檢查清單。純防禦——不含攻擊步驟。

2026-07-02

Spring Boot 的資安對策 — 正式環境強化實務參考

Spring Boot 是穩固的地基,但事故來自相依套件、設定與授權。本頁是實務參考:(1)附優先度的強化檢查表(P0〜P2) (2)分領域的具體對策=相依套件 CVE(Log4Shell 系、以實際執行版本判定)、正式環境設定與機密的外部化、Spring Security 的授權(預設拒絕/方法授權/擁有者檢查)、Actuator/管理面的暴露削減、不安全的還原序列化、注入、標頭/CSRF/工作階段、SSRF (3)自我檢驗檢查。只談防禦與點檢,不含攻擊步驟。