CSSLP資安軟體開發專家認證課程

時數與費用

時數： 5天 (09:00~18:00；每天8小時)
費用：NT$ 50000 早鳥優惠價：NT$ 45000
點數：12.5

課程特色

軟體開發是驅動所有系統運作的基礎，即使在重要的資安防護設備如防火牆、IDS\IPS等皆由軟體開發驅動，但是說明軟體開發安全性的課程與其他資安課程相比卻極少，但如何開發安全性軟體的重要性卻與日俱增，即使不論大多數的資安事件皆因資訊系統的漏洞所引起，各式修補程式(例如各種Patch更新通知等)的頻繁更新也證明開發安全性軟體的重要性。因此本課程的特別之處就在於針對參與軟體開發生命週期（SDLC）所有人員量身訂作的資安證照。

CSSLP涵蓋八大領域，包括軟體安全概論、軟體生命週期安全管理、軟體安全設計、供應鏈與軟體採購等，旨在幫助參與軟體開發的人員了解和掌握軟體安全開發的流程和方法，貫穿整個軟體生命週期與風險管理，告知在開發各個階段應以何種標準、何種工具去評量整體的安全性。

CSSLP是由ISC2官方認可的資安證照，證書是由ISC2官方頒發。這個證照可以幫助企業避免資安事件的損失，並確保軟體開發的安全性和可靠性。

全智網教育訓練中心為ISC2原廠授權教育訓練中心，授課講師為ISC2原廠認證通過之合格講師。

課程大綱

CSSLP（Certified Secure Software Lifecycle Professional）課程大綱涵蓋八大領域，以下說明取自ISC2原廠電子教材第六版(最新版):

• Domain 1: Secure Software Concepts
  • 定義軟體開發的核心安全目標。
  • 描述資訊安全三要素並解釋資訊機密性、完整性和可用性的主要機制。
  • 描述資訊安全和資料隱私之間的關係。
  • 確定影響軟體安全的監管注意事項。
  • 解釋安全方法如何透過存取控制來緩解漏洞。
  • 描述軟體安全中多層保護的目的和功能。
  • 描述安全文化和實踐如何影響資料隱私和安全。
• Domain 2: Secure Software Life Cycle Management
  • 探索軟體開發的預測和自適應方法中的安全性。
  • 描述將軟體安全實踐納入 SDLC 流程。
  • 定義 DevOps 和 DevSecOps。
  • 認識安全配置標準和基準。
  • 描述以安全為中心的組態管理流程。
  • 確定軟體弱點和漏洞的安全標準。
  • 解釋 OWASP 的軟體保障成熟度模型 (OpenSAMM) 和建構安全成熟度模型 (BSIMM)。
  • 在 DevSecOps中定義軟體安全里程碑和檢查點。
  • 解釋系統安全計劃。
  • 識別與安全相關的文件。
  • 定義軟體開發中的指標。
  • 制定軟體停用政策和流程。
  • 解釋 DevSecOps 中的安全報告機制。
  • 描述風險評估和風險管理。
  • 檢討安全操作流程的實施。
  • 確定容器生命週期內的安全注意事項。
• Domain 3: Secure Software Requirements
  • 描述需求管理。
  • 識別功能性和非功能性需求。
  • 解釋 SCRUM/類別 SCRUM 方法中以安全為中心的故事的影響。
  • 描述軟體安全需求的來源。
  • 分析安全策略及其支援元素作為安全需求的內部來源。
  • 解釋合規性要求，並將法律、法規和行業標準視為安全要求的外部來源。
  • 討論安全標準和框架。
  • 描述資料治理和所有權。
  • 描述資料分類以及安全標籤和標記。
  • 識別結構化和非結構化資料類型。
  • 描述資料生命週期。
  • 識別降低隱私風險的隱私權法律和法規。
  • 討論資料匿名化並列舉各種匿名化方法。
  • 解釋隱私環境下的使用者同意、資料保留和資料處理。
  • 認識跨境資料傳輸的影響和個人資料傳輸的限制。
  • 描述使用者和軟體資料存取規定。
  • 描述誤用和濫用案例及其與已知攻擊模式的相關性。
  • 描述安全需求可追溯性矩陣（STRM）。
  • 確定第三方供應商的安全要求。
• Domain 4: Secure Software Architecture and Design
  • 描述架構和安全相關的設計模式。
  • 認識介面設計的安全標準。
  • 比較和區分各種身份驗證和授權機制。
  • 描述憑證管理。
  • 確定網路安全中使用的原理和工具。
  • 描述用於維護資料庫安全的方法。
  • 確定威脅建模流程、工具和方法。
  • 指出攻擊面評估和管理的過程。
  • 討論威脅情報和網路威脅資訊來源。
  • 描述架構風險評估流程。
  • 認識非功能性安全屬性和限制。
  • 確定安全維運架構注意事項。
• Domain 5: Secure Software Implementation
  • 定義安全編碼標準的特徵。
  • 描述在委外應用程式中建置安全性的不同方法。
  • 識別軟體中的常見缺陷以及相應的緩解策略。
  • 解釋常見的安全編碼實踐。
  • 定義傳輸中和靜態資料的保護方法。
  • 識別最常見漏洞清單和資料庫中列出的軟體弱點。
  • 描述軟體保障工具的功能和方法。
  • 按類型和功能描述控制項的分類。
  • 定義出防止常見 Web 應用程式漏洞的控制措施。
  • 描述定義安全策略的過程，其中包括軟體風險的考慮因素。
  • 識別使用第三方和開源元件及程式庫的相關風險。
  • 描述各種整合類別及其與軟體安全的相關性。
  • 描述建置自動化流程
  • 解釋軟體保證中所使用的技術
• Domain 6: Secure Software Testing
  • 識別常見的安全測試技術。
  • 描述測試環境。
  • 定義組織的軟體安全標準和指南。
  • 解釋群眾外包的安全性和BUG賞金計劃的好處。
  • 定義安全測試的指南
  • 識別各種安全測試個案。
  • 認識到設計誤用和濫用個案的重要性。
  • 描述文件驗證和確認
  • 解釋 OWASP 應用程式安全驗證標準 (ASVS) 的結構和目標。.
  • 描述未記錄的功能和原始程式碼。
  • 解釋測試結果的安全意義。
  • 區分測試結果的類型。
  • 描述追蹤安全性瑕疵的過程
  • 解釋風險評分系統和通用漏洞評分系統 (CVSS)。
  • 解釋測試數據的產生以及使用正式環境資料的後果。
  • 描述驗證和確認測試的過程。
• Domain 7: Secure Software Deployment, Operations, and Maintenance
  • 描述 ISO 31000 系列背景下的操作風險分析。
  • 描述安全性參數管理 (SecCM)。
  • 識別安全持續整合和持續交付 (CI/CD) 流程的元素。
  • 解釋應用程式安全工具鏈。
  • 確定識別應用程式漏洞的步驟。
  • 比較和區分儲存和管理安全資料的常用方法。
  • 描述安全安裝過程和方法。
  • 解釋安全軟體啟動機制。
  • 確定授權營運 (ATO) 流程中的步驟和方法。
  • 解釋如何執行資訊安全持續監控。
  • 描述事件應變計畫階段。
  • 將修補程式管理流程與整體軟體安全實務相關聯。
  • 描述用於漏洞管理的方法和工具。
  • 描述控制措施如何有助於在執行期間保護應用程式。
  • 比較並區分業務持續營運和災難復原計劃各如何支援營運持續。
  • 解釋和區分服務等級協定 (SLA)、服務等級目標 (SLO) 和服務等級指標 (SLI)，以實現供應商持續運作。
• Domain 8: Secure Software Supply Chain
  • 描述軟體供應鏈。
  • 檢視軟體供應鏈風險管理的流程。
  • 解釋與第三方軟體相關的安全風險。
  • 點對點應用程式和檔案共享的相關風險性。
  • 解釋程式碼儲存庫和環境安全。
  • 說明具有密碼學雜湊和數位簽章的元件。
  • 確定軟體採購中的安全要求和原則。
  • 詳細闡述軟體採購的關鍵考量因素。
  • 解釋軟體採購的合約要求。

考試資訊

考試地點與座位有限，請提早預約考場，台灣考場資訊如下：

1. Pearson Professional Test Center Taipei, Taiwan台北市信義區基隆路一段163號12樓-3 聯合世紀大樓 電話：02-2756-7808
2. 高雄市苓雅區新光路38號4樓之1(亞太財經廣場大樓) · 電話：07-536-1199

• 考試內容：8大領域：軟體安全概論、軟體生命週期安全管理、軟體安全要求、軟體安全設計、供應鏈與軟體採購、軟體安全開發、軟體安全開發測試、軟體部署、維運與維護。
• 考試時間：3小時
• 考試題數:125題選擇題(英文)
• 考試費用:599美元

備註事項