課程介紹
隨著軟件產業的快速發展,軟件供應鏈愈發復雜多元,而復雜的軟件供應鏈會引入一系列安全問題,導致信息系統的整體安全防護難度越來越大。近年來,針對軟件供應鏈的安全攻擊事件呈快速增長態勢,造成的危害也越來越大。軟件供應鏈可劃分為開發、交付、運行三大環節,每個環節都可能會引入供應鏈安全風險。
培訓對象
從事相關工作及對本課程內容感興趣的人士。
課程收益
理解安全開發治理;
理解軟件安全需求和架構;
理解源代碼缺陷;
理解軟件安全部署;
理解供應鏈安全風險現狀、安全挑戰、軟件風險和監管要求。
知識概要
-- 供應鏈安全風險形勢和監管要求;
-- 軟件供應鏈安全現狀;
-- 軟件供應鏈風險分析;
-- 軟件安全開發體系構建階段;
-- 設計階段;
-- 編碼階段;
-- 發布運營階段;
-- 需求和安全需求;
-- 安全需求分析方法;
-- 軟件設計及安全設計的基本原則;
-- 軟件安全設計方法;
-- 軟件架構安全性分析;
-- 威脅建模;
-- 軟件源代碼缺陷;
-- 重要常見缺陷分析;
-- 軟件安全部署;
-- 軟件項目管理安全。
課程大綱
供應鏈安全風險形勢和監管要求
供應鏈安全風險形勢和案例
供應鏈安全監管要求
軟件供應鏈安全現狀
國內外軟件供應鏈安全發展現狀
軟件供應鏈的安全挑戰
軟件供應鏈風險分析
軟件供應鏈風險現狀
軟件供應鏈風險因素分析
軟件供應鏈的漏洞類型
軟件供應鏈的攻擊類型
軟件安全開發體系構建階段
SDL軟件安全開發生命周期
DevSecOps
設計階段
軟件供應商風險管理流程
軟件供應商評估模型
軟件供應商風險管理的作用
編碼階段
構建詳細的軟件物料清單
使用基于SCA技術的工具
發布運營階段
建立成熟的應急響應機制
構建完善的運營保障工具鏈
需求和安全需求
需求的定義、層次及分類
安全需求和安全需求工程
安全需求分析方法
常用安全需求分析方法
安全需求分析方法在實踐中的應用
軟件設計及安全設計的基本原則
軟件設計的主要工作
軟件安全設計的原則
減少軟件受攻擊面
軟件安全設計方法
基于模式的軟件安全設計
安全設計方法實現
軟件架構安全性分析
軟件架構的安全性
軟件架構安全分析方法
威脅建模
威脅建模方法
威脅建模案例
軟件源代碼缺陷
源代碼缺陷的基本概念
發現缺陷的方法
自動化缺陷檢測技術
缺陷處置流程
代碼審計工具
代碼安全保障技術趨勢
重要常見缺陷分析
缺陷種類劃分
輸入驗證類缺陷分析
資源管理類缺陷分析
代碼質量類缺陷分析
軟件安全部署
軟件部署過程
軟件自身安全
基礎環境安全
軟件安全部署案例
軟件項目管理安全
項目管理階段
安全管理關鍵因素
認證過程
無認證考試
開班信息
暫無開班信息