77869288
CSSLP國際注冊軟件生命周期安全師認證培訓
課程大綱
認證須知
開課計劃
學習QQ群
常見問題
成為保護軟件開發生命周期安全的領頭人
CSSLP 認證介紹
(ISC)2? 注冊軟件生命周期安全師(Certified Secure Software Lifecycle Professional)(CSSLP?) 是信息安全行業唯一一個針對保障整個軟件開發生命周期安全性的國際認證。
從概念到規劃、運行、維護直至廢棄處理,此資格認證制定了在軟件開發的各個階段保證其安全性的行業標準和最佳實踐。安全性的核心理念包含機密性、完整性、實用性、驗證、授權與審計,于軟件開發生命周期缺一不可。若不嚴守以上原理,信息將受到嚴重威脅。實踐證明,在軟件生命周期初期就考慮安全性并在各階段保持安全性的方式,比當今常用的先發布后打補丁的方式,不但能節省30至100倍成本,更能大大提升工作效率。
現今,應用程序漏洞仍舊是網絡安全的首要顧慮。 盡管攻擊者不斷利用新的應用漏洞,研究人員也不斷披露, 但最常見的應用程序缺陷往往是之前已被反復發現的威脅。 已知的應用程序漏洞如此之多,一方面表明了許多開發團隊未能具備所需的安全能力和資源以應對潛在安全缺陷,另一方面也反映了具有足夠應用安全知識與技能的合格軟件專業人員明顯缺乏。 如果不采取有效措施應對這一軟肋, 企業與政府機構將不得不面臨并持續遭遇如數據泄露、運營中斷、業務受困、品牌受損、監管罰單等一系列嚴重后果。這就是為什么軟件從業人員不斷更新軟件開發知識與技能、緊跟軟件開發行業發展趨勢與動態、同時了解新興安全威脅是如此之重要。
CSSLP 證明與驗證軟件從業人員具備將最佳安全實踐- 身份驗證、授權、審計等- 融入軟件開發生命周期各個階段(從軟件設計、實施到測試和部署)的專業知識與能力。
課程對象
IT總監/經理;安全經理;項目經理;軟件項目經理;軟件架構師;軟件工程師;
軟件開發工程師;應用程序安全專家;軟件采購分析員;滲透測試人員;質量保證測試員
CSSLP八大知識領域
8大知識領域 | |
安全軟件的概念 | 企業電腦系統采用集中式和分散式管理環境下軟件開發需要關注的安全性含義及方法 核心概念 治理、風險、合規 安全設計原則 軟件開發方法 隱私
|
安全軟件的要求
| 獲取在需求階段設置的安全性控制點,將安全性融入全過程,識別重點安全目標,最大限度地提高軟件安全性的同時盡量減少計劃和進度中斷。 策略分解 功能性要求 數據分類和歸類 操作性要求
|
安全軟件設計
| 將安全要求轉化為應用程序開發的設計元素,包括記錄軟件易受攻擊的元素,威脅建模,定義特定的安全標準。 設計過程 通用架構安全 設計考慮因素 技術
|
安全軟件實施/編碼
| 涉及編碼和測試標準的應用,安全性測試工具的使用,包括模糊測試、靜態代碼分析工具及編碼審查。 聲明性安全 VS 強制編程式安全 開發和編譯環境 漏洞數據庫/列表 代碼/評審 防御性編碼方法與控制 代碼分析 源代碼和版本控制 防篡改技術
|
安全軟件測試
| 安全性能集成QA測試,攻擊彈性測試 測試工件 影響評估和糾正措施 測試安全性和質量保證 測試數據生命周期管理 測試類型
|
軟件驗收
| 軟件驗收階段安全性的含義包括完成標準、風險接受和記錄、獨立測試的通用標準和方法 發布前或部署前 發布后 |
軟件部署、運行、維護和廢棄處理
| 圍繞軟件平穩運行及管理的安全性問題。當軟件產品達到使用壽命期限,所需采取的必要安全措施 安裝和部署 軟件廢棄處理 運行和維護 |
供應鏈及軟件采購
| 為管理軟件外包開發、采購、購買軟件和相關服務時產生的風險提供了一個全面的知識大綱和行動指南 供應商風險評估 軟件交付及運維 供應商開發 供應商轉變 軟件開發測試 |
