一本書分析資訊安全的歷史
以及網路系統如此脆弱的原因

◆美國2022年資訊安全名人堂得獎作品◆

網路科技急速發展,資訊安全卻有很多漏洞,導致個資外洩、詐騙頻傳,甚至遭到駭客和勒索軟體的攻擊。資安問題持續存在且難以根除的原因,在於許多開發者和企業在設計和推出系統時,往往採取「先行動,後補救」策略,導致許多系統在推出後,才發現存在嚴重的安全漏洞,不僅為後續的修補和維護帶來了巨大挑戰,更為潛在的攻擊者提供了可乘之機。 

安德魯‧史都華(Andrew J. Stewart)在書中詳述資訊安全從發展初期至今的歷史,其實是連續失敗的過程,即使到了現在,嚴密的資安依然無法杜絕個資外洩、網路勒索的發生,從個人到企業的傷害,仍然持續擴大。這本書特別從攻擊者、防禦者的角度分析過去的資安事件,也從政策層面探討人們在不同年代如何填補資安漏洞。

「當下是過往的產物,所以想要跨越資訊安全在今日所面對的挑戰,好好了解過去,就是我們繞不過去的一關。」
——安德魯‧史都華(Andrew J. Stewart)



資訊安全必讀書單
#從數位邊界、管理制度到掌握駭客攻擊手法缺一不可

★資安新書上市★


深入了解 SRE 的日常工作及挑戰

作為一本專為 SRE 新手設計的指南書籍,本書將帶領讀者深入了解 SRE 的日常工作、挑戰和成功經驗。除了技術解說之外,書中也將提供業界第一手的實戰經驗以及職涯參考建議。

書中所有內容皆以作者在公司的實際經驗作為分享核心,並以真實案例切入來作為每個篇章的主題。除了讓讀者更瞭解SRE 的工作內容之外,也會提供職涯上的參考,協助有興趣的讀者評估自身的職涯規劃,在職場上獲得更好的機會。無論是剛入門的新人,還是想要精進技能的專業人士,本書都是不可或缺的參考工具。


打造專屬資安弱點通報機制

本書不同於艱澀難以理解的官網手冊,帶領讀者一步一步從系統安裝到實際的應用情境,用系統性並循序漸進的方式教學,是最適合新手入門的指南書。

本書將從資訊資產的「組態管理」開始,教讀者如何針對各式各樣的資訊設備進行組態盤點,以及如何自動化大量部署或更新等應用,從而大幅提升管理人員的管理效率。再藉由「組態管理」所盤點到的軟體資訊,延伸到與「威脅情報」的整合,可以識別目前企業所安裝的軟體中存在的漏洞並發送告警訊息。按照本書的教學,新手也可以打造出一套專屬於自己的資通安全弱點通報解決方案。

★大家都在看的資安專書★


系統性學習網頁前端知識以及資安

◆美國2022年資訊安全名人堂得獎作品◆

就算不是軟體工程師,也可能從新聞或社群媒體等等的管道,接收過關於資訊安全的消息,關於駭客會把資料庫偷走,或者是在電腦裡面安裝勒索軟體等等。照理來講,除了資安業界的同行以外,軟體工程師應該是第二瞭解資安的群體了,畢竟平常工作上多少都會接觸到,但是當我們把範圍縮小,來談「網頁前端的資訊安全」時,應該不少人都只知道 XSS,然後就沒了。

如果把網頁前端資安的領域比喻成一個宇宙的話,XSS 就是那顆最大最亮的星球,佔據了多數人的目光。但除了它以外,在宇宙中還有很多沒這麼耀眼的行星與恆星,它一直都在那,你只是沒有發現而已。這本書的目的是希望能介紹一些前端資安的議題,並且帶大家一起探索前端資安的宇宙!這是一本從網頁學習資安,也從資安學習網頁的書籍,無論是對網頁還是對資安有興趣,一定都能開拓視野並得到收穫。

「在資安的世界裡,知識量是很重要的,有些東西你不知道就是不知道,在開發的時候有可能根本不知道這樣寫會有問題,就無意間寫出了一段有漏洞的程式碼。」
——胡立(本書作者/技術部落格Huli's blog站長)



網路概論入門
#從基礎做起,先認識什麼是網路


加深對於網路通訊協定的了解

本書會從身邊經常見到的事情出發,用講故事的方式來說明各種協定,然後慢慢擴大到不熟悉的領域。並且說明網路通訊協定時會更加接近使用場景,將各個層次的關係串連起來,而非孤立地說明某個概念。

說明完各個層次的協定之後,書中會接著說明如何在目前熱門領域(例如雲端運算、容器和微服務)中使用這些協定。透過學習本書,讀者一方面可以了解這些網路通訊協定的真實應用場景,另一方面也可以透過上手使用雲端運算、容器、微服務來進一步加深對於網路通訊協定的了解。


軟體開發中的安全監控
#了解DevSecOps流程的各層面


從觀念到實作
打造安全 CI/CD 管道流程

◆涵蓋 DevSecOps 理論、策略與實踐◆

本書是台灣首本詳細探討 DevSecOps 的書籍,不僅解釋了 DevSecOps 的核心概念,也從人員、流程和技術的面向探討 DevSecOps 的實踐與挑戰。
書中詳細介紹了 DevSecOps 的所需知識與技能,為組織和個人提供了一條明確的成長和提升路徑。無論是資訊安全的新手,還是經驗豐富的專家,本書都將是不可或缺的指南。

【目標讀者】
• CISO/CTO/CIO
• DevOps 人員
• DevSecOps 人員
• 開發、測試以及維運人員
• SRE 人員
• 資訊安全顧問
• 對 DevSecOps 感興趣人員
• 對敏捷軟體安全開發感興趣人員
• 想提升 CI/CD 安全性的人員