告别自上而下的代码审计:自下而上方法论的效率优势
2025-03-09
安全顾问通常需要在短时间内成为某个代码库的专家,而无需编写代码。本文作者批判了低效的自上而下的代码审计方法。这种方法如同试图从高空俯瞰整个马拉松赛程,容易让人望而却步。作者提倡自下而上的方法:深入理解代码的细节,逐步扩展范围,最终获得比开发人员更深入的理解,并发现更多bug。这种方法不仅高效,也更令人愉悦。
阅读更多
安全顾问通常需要在短时间内成为某个代码库的专家,而无需编写代码。本文作者批判了低效的自上而下的代码审计方法。这种方法如同试图从高空俯瞰整个马拉松赛程,容易让人望而却步。作者提倡自下而上的方法:深入理解代码的细节,逐步扩展范围,最终获得比开发人员更深入的理解,并发现更多bug。这种方法不仅高效,也更令人愉悦。
阅读更多
这篇文章讲述了作者David决定写一本关于应用密码学的书的原因。David是zkSecurity的联合创始人和《Real-World Cryptography》一书的作者,曾担任过O(1) Labs的密码架构师、Novi (Facebook) Diem(前身为Libra)的安全主管以及NCC Group密码服务部门的安全顾问。他发现现有的密码学资源要么过于理论化,要么已经过时,无法满足实际应用的需求。作者在工作中积累了丰富的实战经验,亲眼目睹了许多密码学应用的失败案例,因此他希望将自己的知识和经验分享给更多的人,帮助他们了解现代应用密码学,避免常见的错误。
阅读更多