安全服务于业务,既然想从事Java安全开发,首先要精通“业务”——Java开发。
Java平台被用于很多领域开发,Web Dev是其中一个。因此学习可以分为两个层面基础面和领域面。
基础面:
Java语言特性
高级编程
JDK
JVM
平台框架(J2SE J2EE)
还包括了密码学、OO,都是非常重要的理论基础。
等等。
领域面:
目前行业Web开发核心框架是Spring。以及该生态圈下的Spring MVC、Spring Boot、Spring Security等等。
数据库框架
日志框架
Web Service框架
密码学框架。
等等(重点关注Apache、jBoss社区)。
熟悉业务后,从事安全开发研究,可以参照一些国际标准、行业实践,ISO27034、MSSDL、OWASP、CWE、WASC。这些只是参考,如果想成为该领域专家,则需要大量阅读源码、进行静态、动态分析(尤其是渗透测试),来形成自己对安全开发的认识(编码级、设计级、产品级)。
三个框架
Spring提供了管理业务对象的一致方法并且鼓励了注入对接口编程而不是对类编程的良好习惯。Spring的架构基础是基于使用JavaBean属性的Inversion of Control(IOC)容器,且它在使用IOC容器作为构建完关注所有架构层的完整解决方案方面是独一无二的。
tructs是一个基于Sun J2EE平台的MVC框架,主要是采用Servlet和JSP技术来实现的。由于Structs能充分满足应用开发的需求,简单易用,敏捷迅速,在过去的一年中颇受关注。Structs把Servlet、JSP、自定义标签和信息资源整合到一个统一的框架中,开发人员利用其进行开发时不用再自己编码实现全套MVC模式,极大的节省了时间,所以说Struts是一个非常不错的应用框架。
欢迎您登录红帽社区,如您还没有账号,请点此注 册
欢迎您注册红帽社区会员,如您已拥有账号,请点此 登 录