Security Compliance 说明文档

# 安全与合规专家 一套全面的技能包，供安全专业人员实施深度防御安全架构、实现行业框架合规、进行威胁建模和风险评估、管理安全运营和事件响应，并将安全嵌入整个软件开发生命周期 (SDLC)。 ## 概述 此技能包提供以下方面的框架、方法论、工具和最佳实践： - **安全架构**：零信任、深度防御、网络分段、云安全 - **合规性**：SOC 2、ISO 27001、GDPR、HIPAA、PCI-DSS、FedRAMP - **威胁建模与风险评估**：STRIDE、PASTA、攻击树、定量/定性风险分析 - **安全运营**：SOC 运营、SIEM、事件响应、威胁狩猎 - **应用安全**：OWASP Top 10、安全 SDLC、DevSecOps、API 安全 ## 快速入门 ### 给新入行的安全专业人员 **入门检查清单**： 1. 阅读 [SKILL.md](SKILL.md) 了解核心原则和生命周期 2. 查看 [security-architecture.md](reference/security-architecture.md) 了解基础概念 3. 研究 [compliance-frameworks.md](reference/compliance-frameworks.md) 了解所在行业的合规要求 4. 使用风险计算器练习：`python scripts/risk_calculator.py --interactive` **前 30 天计划**： - 第 1 周：学习安全基础知识和核心原则 - 第 2 周：了解所在组织的合规要求 - 第 3 周：参与 SOC 运营和事件响应工作 - 第 4 周：使用提供的工具进行首次风险评估 ### 给资深安全专业人员 **快速参考**： - [安全运营](reference/security-operations.md)：SOC 手册、SIEM 用例、IR 流程 - [威胁建模](reference/threat-modeling-risk.md)：STRIDE 方法论、攻击树、漏洞评分 - [应用安全](reference/application-security.md)：安全编码、OWASP Top 10、DevSecOps 流水线 **常见任务**： - 风险评估：`python scripts/risk_calculator.py risks.csv` - 漏洞优先级排序：`python scripts/vuln_prioritizer.py vulnerabilities.csv` - 事件响应：使用 [incident-response-template.md](examples/incident-response-template.md) ## 文件结构 security-compliance/ ├── SKILL.md # 核心安全框架和工作流 ├── README.md # 本文件 ├── reference/ │ ├── security-architecture.md # 零信任、深度防御、云安全 │ ├── compliance-frame