依赖
第三方脚本与依赖风险治理(Subresource与外部资源)最佳实践
"以SRI与CSP为核心,通过允许名单、版本锁定与沙箱隔离,构建第三方脚本与外部资源的可验证安全治理方案。"
Import Maps:原生模块映射与依赖治理
使用 Import Maps 为浏览器原生模块提供依赖映射与别名,简化部署与版本治理,并规范同源路径前缀与外部 CDN 映射。
React 19 样式表依赖与加载策略
引言React 19 引入“样式表作为依赖”,实现样式与组件绑定,便于局部推理与按需加载;样式库与打包器可集成此能力提升加载效率。核心说明(已验证)局部绑定与按需:将样式表与依赖项组件放在一起,确保只加载实际依赖的样式,提升局部推理与加载效率。来源:React v19 稳定版说明。打包器与样式库集成
CocoaPods依赖与Podfile.lock治理(Specs-源-校验)最佳实践
校验 Podfile.lock 中的组件版本与 Specs 源地址白名单,阻断非受控源与异常版本漂移,保障移动端依赖安全。
DevSecOps 安全测试与合规(SAST/DAST、依赖与许可证治理)
在 CI/CD 中集成 SAST/DAST 与依赖和许可证治理,建立发布门禁与审计,确保安全与合规并提供验证方法。
Dockerfile依赖拉取安全治理(pin digest-apt来源-校验)最佳实践
针对 Dockerfile 的基础镜像与 apt 来源执行 `digest` 固定与来源白名单、校验策略,保障容器构建安全。
Git子模块与外部仓库依赖治理(commit pin-只读-审计)最佳实践
通过子模块来源白名单与不可变提交引用,实施只读访问与审计,降低外部仓库依赖的安全风险。
Gradle依赖锁定与校验和治理(version lock-校验)最佳实践
通过依赖锁定与校验和校验、仓库白名单与版本对齐,治理Gradle依赖的完整性与一致性。
HTTP/2 优先级实践:依赖树与浏览器差异
"解释 HTTP/2 的流依赖与权重模型、服务器调度的自由度与浏览器差异,给出工程实践建议与观察指标。"
