CSSLP国际注册软件生命周期安全师认证培训
课程大纲
认证须知
开课计划
学习QQ群
常见问题
成为保护软件开发生命周期安全的领头人
CSSLP 认证介绍
(ISC)²® 注册软件生命周期安全师(Certified Secure Software Lifecycle Professional)(CSSLP®) 是信息安全行业唯一一个针对保障整个软件开发生命周期安全性的国际认证。
从概念到规划、运行、维护直至废弃处理,此资格认证制定了在软件开发的各个阶段保证其安全性的行业标准和最佳实践。安全性的核心理念包含机密性、完整性、实用性、验证、授权与审计,于软件开发生命周期缺一不可。若不严守以上原理,信息将受到严重威胁。实践证明,在软件生命周期初期就考虑安全性并在各阶段保持安全性的方式,比当今常用的先发布后打补丁的方式,不但能节省30至100倍成本,更能大大提升工作效率。
现今,应用程序漏洞仍旧是网络安全的首要顾虑。 尽管攻击者不断利用新的应用漏洞,研究人员也不断披露, 但最常见的应用程序缺陷往往是之前已被反复发现的威胁。 已知的应用程序漏洞如此之多,一方面表明了许多开发团队未能具备所需的安全能力和资源以应对潜在安全缺陷,另一方面也反映了具有足够应用安全知识与技能的合格软件专业人员明显缺乏。 如果不采取有效措施应对这一软肋, 企业与政府机构将不得不面临并持续遭遇如数据泄露、运营中断、业务受困、品牌受损、监管罚单等一系列严重后果。这就是为什么软件从业人员不断更新软件开发知识与技能、紧跟软件开发行业发展趋势与动态、同时了解新兴安全威胁是如此之重要。
CSSLP 证明与验证软件从业人员具备将最佳安全实践- 身份验证、授权、审计等- 融入软件开发生命周期各个阶段(从软件设计、实施到测试和部署)的专业知识与能力。
课程对象
IT总监/经理;安全经理;项目经理;软件项目经理;软件架构师;软件工程师;
软件开发工程师;应用程序安全专家;软件采购分析员;渗透测试人员;质量保证测试员
CSSLP八大知识领域
8大知识领域 | |
安全软件的概念 | 企业电脑系统采用集中式和分散式管理环境下软件开发需要关注的安全性含义及方法 核心概念 治理、风险、合规 安全设计原则 软件开发方法 隐私
|
安全软件的要求
| 获取在需求阶段设置的安全性控制点,将安全性融入全过程,识别重点安全目标,最大限度地提高软件安全性的同时尽量减少计划和进度中断。 策略分解 功能性要求 数据分类和归类 操作性要求
|
安全软件设计
| 将安全要求转化为应用程序开发的设计元素,包括记录软件易受攻击的元素,威胁建模,定义特定的安全标准。 设计过程 通用架构安全 设计考虑因素 技术
|
安全软件实施/编码
| 涉及编码和测试标准的应用,安全性测试工具的使用,包括模糊测试、静态代码分析工具及编码审查。 声明性安全 VS 强制编程式安全 开发和编译环境 漏洞数据库/列表 代码/评审 防御性编码方法与控制 代码分析 源代码和版本控制 防篡改技术
|
安全软件测试
| 安全性能集成QA测试,攻击弹性测试 测试工件 影响评估和纠正措施 测试安全性和质量保证 测试数据生命周期管理 测试类型
|
软件验收
| 软件验收阶段安全性的含义包括完成标准、风险接受和记录、独立测试的通用标准和方法 发布前或部署前 发布后 |
软件部署、运行、维护和废弃处理
| 围绕软件平稳运行及管理的安全性问题。当软件产品达到使用寿命期限,所需采取的必要安全措施 安装和部署 软件废弃处理 运行和维护 |
供应链及软件采购
| 为管理软件外包开发、采购、购买软件和相关服务时产生的风险提供了一个全面的知识大纲和行动指南 供应商风险评估 软件交付及运维 供应商开发 供应商转变 软件开发测试 |