问问题，以确认一个好的立场，在网络应用安全？

EN

我很抱歉再提一个老问题，但是雅各布·卡普兰-- 姜戈的共同创建者之一--最近写了一篇关于这个确切主题的伟大文章：我们的“哑巴安全问卷”。它包括以下十个问题：

(1)请回答以下问题：

1. 如果您使用云提供商(GCP/AWS/Azure/等等)：
   • 描述凭据是如何提供、管理和存储的。
   • 如果攻击者获得了对单个开发人员的云凭据的访问权限，那么攻击者可以执行哪些操作，您将如何检测和响应该漏洞？

2. 如果你不使用云提供商:为什么不呢？
3. 描述员工如何对公司服务(例如服务器、电子邮件、SaaS产品)进行身份验证，特别强调使用密码管理器、2FA和SSO。
4. 您使用什么开发实践来防范OWASP前10名？
5. 描述开发人员或操作人员为将新代码推入产品而采取的步骤。
6. 在过去的两年里，你有没有遇到过任何安全漏洞？
   • 如有，请解释违规情况，并提供任何验尸/根源分析/事后报告的副本.

(2)，并请尽可能多地提供以下内容：

1. 最近(过去12个月)渗透测试报告，以及采取了什么后续行动/补救措施的信息。外部公司的报告更好；内部测试也可以。只要包含基本的漏洞描述和严重性级别，经过编辑的摘要就可以了。
2. 关于组织的安全开发生命周期的文档，或者类似的文档，如果您有它们的话。如果没有，请总结一下您为帮助工程师编写安全代码所采取的步骤。
3. 提供给工作人员，特别是软件开发人员的任何安全培训材料的副本。对类和内容的总结/描述是很好的。
4. 指向漏洞泄漏策略和/或错误奖励程序的链接。如果你也没有，请解释。