CSSLP認證
國際註冊軟體生命周期安全師(CertifiedSecureSoftwareLifecycleProfessional)CSSLP是信息安全行業唯一一個針對保障整個軟體開發生命周期安全性的認證。從概念到規劃、運行、維護直至廢棄處理,此資格認證制定了在軟體開發的各個階段保證其安全性的行業標準和最佳實踐。安全性的核心理念包含機密性、完整性、實用性、驗證、授權與審計,於軟體開發生命周期缺一不可。實踐證明,在軟體生命周期初期就考慮安全性並在各階段保持安全性的方式,比當今常用的先發布後打補丁的方式,不但能節省30至100倍成本,更能大大提升工作效率。CSSLP認證旨在驗證考生在整個軟體開發生命周期SDLC保障套用安全的能力,包括從信息收集到安全軟體的編碼、測試、發布及維護,以及供應鏈及軟體採購方面。CSSLP認證的考生應在軟體開發生命周期SDLC行業具備至少4年工作經驗。CSSLP獲準符合DoD信息保障系統架構及工程類別的LevelI及LevelII等級。
CSSLP要求
同意並遵守(ISC)2的專業守則;獲得所需工作經驗–證明在(ISC)²CSSLPCBK規定的八大領域之中的一個或以上範疇,擁有至少四年軟體開發生命周期行業的從業經驗,或具備學士學位且擁有三年的近期相關工作經驗。如果未達到年限要求,仍可以參加考試,先成為(ISC)²準會員,直到滿足所要求的工作經驗後再申請。
通過4小時,共175題單選題的英文考試,700分以上為考試通過;
CSSLP八大知識域
安全軟體的概念:企業電腦系統採用集中式和分散式管理環境下軟體開發需要關注的安全性含義及方法安全軟體的要求:獲取在需求階段設定的安全性控制點,將安全性融入全過程,識別重點安全目標,最大限度地提高軟體安全性的同時儘量減少計畫和進度中斷。
安全軟體設計:將安全要求轉化為應用程式開發的設計元素,包括記錄軟體易受攻擊的元素,威脅建模,定義特定的安全標準。
安全軟體實施/編碼:涉及編碼和測試標準的套用,安全性測試工具的使用,包括模糊測試、靜態代碼分析工具及編碼審查。
安全軟體測試:安全性能集成QA測試,攻擊彈性測試。
軟體驗收:軟體驗收階段安全性的含義包括完成標準、風險接受和記錄、獨立測試的通用標準和方法。
軟體部署、運行、維護和廢棄處理:圍繞軟體平穩運行及管理的安全性問題。當軟體產品達到使用壽命期限,所需採取的必要安全措施。
供應鏈及軟體採購:為管理軟體外包開發、採購、購買軟體和相關服務時產生的風險提供了一個全面的知識大綱和行動指南。
CSSLP目標
了解安全開發的的歷史、基礎概念和安全開發整體實施概念了解安全需求分析的各種分類、安全需求分析的方法以及流程
了解安全設計的各種原則、方法、工具和流程
了解安全編碼的各種方法、規範和流程
了解安全測試的各種理論、方法和流程
了解安全上線、運維和廢棄的的重要關注點、方法和流程
