主题

内容

培训开始

1. 讲师与学员自我介绍，搭建学习交流场景；2. 课程目标详细介绍，明确学习重点与预期成果；3. 课程内容模块化拆解，说明各环节衔接逻辑与学习方法。

信息安全（主流威胁防护）

1. 注入攻击原理和防范：SQL注入、命令注入等主流注入攻击的原理、检测方法及最新防护策略；2. 跨站攻击原理和防范：XSS、CSRF跨站攻击的主流攻击手段、漏洞挖掘及实战防护技巧；3. 网络传输攻击原理及防范：HTTPS协议安全、中间人攻击、数据泄露等传输层攻击的防护方案；4. 社会工程攻击原理及防范：钓鱼攻击、pretexting等主流社会工程攻击识别与人员安全意识培养。

安全开发流程

1. 主流安全软件开发工作流程，明确各环节安全管控节点；2. 安全开发生命周期（SDL）全流程解析：需求阶段、设计阶段、开发阶段、测试阶段、发布及运维阶段的安全要求；3. 威胁建模：主流威胁建模方法（STRIDE、DREAD等）实操，识别潜在安全威胁与风险；4. SDL角色分工：明确开发、测试、安全、运维等各角色在安全开发中的核心职责与协同逻辑。

安全软件开发框架

1. 当前主流安全软件开发框架（如OWASP SAMM、BSIMM）介绍与适配场景；2. 软件安全防护核心：代码安全、配置安全、依赖安全等全方位防护方法；3. 安全可靠软件生产规范：编码标准、安全评审、漏洞修复等核心环节要求；4. 第三方软件安全验证：依赖包漏洞检测、第三方组件安全评估方法，规避供应链安全风险；5. 漏洞应对策略：漏洞分级、漏洞修复流程、应急响应及漏洞披露规范。

面向对象安全（主流规范）

1. 私有可变类成员防护：返回引用前防御性复制的实操技巧；2. 构造函数安全：构造函数抛出异常的安全处理方法与风险规避；3. 数据封装安全：数据成员声明为私有，提供标准化可访问封装器方法；4. 类比较与复制安全：正确的类比较方法，敏感类禁止自我复制的规范；5. 代码规范安全：不使用公有静态非final变量、弃用/过时类和方法；不在clone()中调用可覆写方法、不使用析构函数；6. 敏感信息与访问控制：不硬编码敏感信息、不在受信边界外记录敏感信息；安全检测方法声明为private或final，不提升被覆写/隐藏方法的可访问性；7. 其他安全规范：避免数组引用漏洞、严格验证方法参数、不使用断言验证方法参数等。

异常处理安全

1. 异常处理核心规范：不忽略捕获的异常，避免安全隐患；2. 敏感信息保护：不暴露异常中的敏感数据（如数据库密码、路径等）；3. 异常抛出规范：不随意抛出RuntimeException、Exception、Throwable，精准定义异常类型；4. 异常捕获原则：不捕获NullPointerException或其他父类异常，避免掩盖真实错误。

对象声明与操作安全

1. 代码效率与安全：避免多层嵌套循环，降低代码复杂度与安全风险；2. 标识符规范：不重复使用Java标准库中的公开标识符，避免命名冲突；3. 循环变量安全：循环相关变量声明、使用的安全注意事项，规避变量泄露风险；4. 类与方法操作安全：类实例化、方法调用过程中的安全陷阱与防范技巧。

输入输出安全

1. 流与运行安全：ZipInputStream与Runtime使用的安全注意事项，规避代码执行漏洞；2. 文件操作安全：检测并处理文件相关错误，及时释放文件资源，终止前移除临时文件；3. 文件安全防护：文件路径遍历、文件上传漏洞的防范方法，其他文件操作相关安全问题解析。

表达式与数字类型安全

1. 表达式安全：不忽略方法返回值、不引用空指针，使用Arrays.equals()比较数组内容；2. 数字类型与操作安全：数字类型选型规范，防止整数溢出的主流方法；3. 运算安全：避免除法和取模运算分母为零，处理浮点数精度问题带来的安全风险。

线程安全

1. 共享变量安全：确保共享变量操作的原子性、可见性，使用锁机制与volatile关键字的实操技巧；2. 线程管理安全：确保执行阻塞操作的线程可正常终止，规避死锁、活锁风险；3. 其他线程安全：线程池使用安全、并发集合使用规范，线程安全问题排查方法。

序列化过程中安全

1. 敏感数据保护：不序列化未加密的敏感数据，序列化过程中敏感信息的加密处理方法；2. 资源与内存安全：避免序列化过程中的内存泄漏、资源泄漏问题；3. 序列化漏洞防范：serialVersionUID规范使用，规避反序列化漏洞。

DevSecOps（主流实践）

1. 理念升级：从DevOps到DevSecOps的核心转变，安全左移的核心思想；2. DevSecOps原则与优势：核心原则解析，DevSecOps在提升软件安全、效率方面的优势；3. 主流DevSecOps框架与工具：框架选型，自动化安全测试、漏洞扫描工具（如SonarQube、OWASP ZAP）应用；4. DevSecOps关键能力：自动化安全集成、持续安全测试、漏洞闭环管理等核心能力；5. 实战案例分析：各行业DevSecOps落地案例，提炼可复用的实践经验与避坑技巧。