CSSLP國際注冊軟件生命周期安全師課程簡章

1 安全軟件的概念（企業(yè)電腦系統(tǒng)采用集中式和分散式管理環(huán)境下軟件開發(fā)需要關(guān)注的安全性含義及方法。） ?核心概念 ?治理、風(fēng)險、合規(guī) ?安全設(shè)計原則 ?軟件開發(fā)方法 ?隱私 2 安全軟件的要求（獲取在需求階段設(shè)置的安全性控制點，將安全性融入全過程，識別重點安全目標(biāo)，*限度地提高軟件安全性的同時盡量減少計劃和進(jìn)度中斷。） ?策略分解 ?功能性要求 ?數(shù)據(jù)分類和歸類 ?操作性要求 3 安全軟件設(shè)計（將安全要求轉(zhuǎn)化為應(yīng)用程序開發(fā)的設(shè)計元素，包括記錄軟件易受攻擊的元素，威脅建模，定義特定的安全標(biāo)準(zhǔn)。） ?設(shè)計過程 ?通用架構(gòu)安全 ?設(shè)計考慮因素 ?技術(shù) 4 安全軟件實施/編碼（涉及編碼和測試標(biāo)準(zhǔn)的應(yīng)用，安全性測試工具的使用，包括模糊測試、靜態(tài)代碼分析工具及編碼審查。） ?聲明性安全 VS 強制編程式安全 ?開發(fā)和編譯環(huán)境 ?漏洞數(shù)據(jù)庫/列表 ?代碼/評審 ?防御性編碼方法與控制 ?代碼分析 ?源代碼和版本控制 ?防篡改技術(shù) 5 安全軟件測試（安全性能集成QA測試，攻擊彈性測試。） ?測試工件 ?影響評估和糾正措施 ?測試安全性和質(zhì)量保證 ?測試數(shù)據(jù)生命周期管理 ?測試類型 6 軟件驗收（軟件驗收階段安全性的含義包括完成標(biāo)準(zhǔn)、風(fēng)險接受和記錄、獨立測試的通用標(biāo)準(zhǔn)和方法。） ?發(fā)布前或部署前 ?發(fā)布后 7 軟件部署、運行、維護和廢棄處理（圍繞軟件平穩(wěn)運行及管理的安全性問題。當(dāng)軟件產(chǎn)品達(dá)到使用壽命期限，所需采取的必要安全措施。） ?安裝和部署 ?軟件廢棄處理 ?運行和維護 8 供應(yīng)鏈及軟件采購（為管理軟件外包開發(fā)、采購、購買軟件和相關(guān)服務(wù)時產(chǎn)生的風(fēng)險提供了一個全面的知識大綱和行動指南。） ?供應(yīng)商風(fēng)險評估 ?軟件交付及運維 ?供應(yīng)商開發(fā) ?供應(yīng)商轉(zhuǎn)變 ?軟件開發(fā)測試