CWASP CSSP

CWASP CSSP即“註冊軟體安全專業人員”,系國家對軟體安全人員資質的最高認可。英文名稱為Certified Secure Software Professional(簡稱CWASP CSSP),是中國信息安全測評中心對中國網路信息系統軟體開發人員安全開發能力實施的一種資質評定。CWASP CSSP持證人員具有專業的軟體安全開發意識、知識、技術和能力,能夠在軟體安全開發生命周期(S-SDLC)中提供必要的安全保障。

認證類型

根據認證者的基礎不同,CWASP CSSP共分為兩種:

1、註冊軟體安全開發人員(CertifiedSecureSoftwareDeveloper,簡稱CWASP CSSP)。證書持有人員主要從事軟體開發領域的工作。

2、註冊軟體安全專業人員(CertifiedSecureSoftwareProfessional,簡稱CWASP CSSP)。證書持有人員主要從事軟體開發領域的技術與管理工作。

CWASP CSSD是CWASP CSSP的基礎,但兩者之間無認證先後順序。

認證價值

企業價值

獲得證書

獲得中國信息安全測評中心頒發的國家級專業認證證書。

具備項目實踐能力

能在就職企業發起或實踐軟體安全開發項目。

提升專業意識與技能

提升基於軟體安全開發生命周期(S-SDLC)的專業“軟體安全開發”方法論與實踐。

具備跨領域競爭力

具備從軟體研發領域跨入網路安全領域的競爭力。

獲得行業經驗

獲得軟體安全開發專家和行業實踐者的經驗,與他們建立專屬的“朋友圈”。

個人價值

支撐S-SDLC實施

為企業快速構建和完善軟體安全開發生命周期(S-SDLC)提供支持。

儲備人才

企業獲得“國家信息安全服務資質(安全開發類)”儲備安全開發人員基礎。

獲得落地經驗

吸收行業現有的S-SDLC落地實施和軟體安全開發的成熟經驗。

降低成本

降低企業因軟體產品安全漏洞修復而投入的研發運營成本。

增強品牌可信度

提升企業軟體產品競爭力,提高企業品牌可信度。

提升意識

提升企業軟體產品研發團隊的軟體安全威脅認知和安全開發意識。

認證對象

1.軟體研發企業管理人員(如:CSO/CISO/CTO、產品經理、研發經理、業務經理、項目經理);

2.軟體安全團隊人員(如:應用程式安全專家、滲透測試人員、安全運營人員);

3.軟體開發從業人員(如:軟體架構師、軟體開發工程師、件測試工程師);

4.高校學生(如:軟體工程專業在校學生、信息安全專業在校學生、IT相關專業在校學生);

5.興趣愛好者(如:對軟體安全開發有興趣的社會人員)。

知識體系

1.套用安全威脅

常見套用軟體安全威脅

套用軟體安全威脅實例剖析

2.軟體安全開發生命周期

S-SDLC流程

S-SDLC流程與敏捷開發

S-SDLC流程實施與成熟度模型

3.軟體安全架構設計

攻擊面分析

威脅建模

安全設計準則

4.軟體安全開發

軟體安全編碼原則

認證、會話管理

許可權控制、危險的輸入驗證

存儲端的加密、出錯處理和日誌

數據保護、數據通訊安全

HTTP、業務邏輯

檔案處理、安全配置

5.軟體安全測試

安全測試基本知識

整體安全測試框架

安全測試流程

企業安全測試標準化

滲透測試

6.軟體安全部署

軟體部署過程

軟體自身安全

基礎環境安全

認證要求

註冊要求

(1)工作經歷要求

申請成為註冊軟體安全開發人員(CWASP CSSP)應具備一定軟體開發基礎。

申請成為註冊軟體安全專業人員(CWASP CSSP)應具備3年從事軟體安全開發有關的工作經歷。

(2)培訓要求

參加並完成由中國信息安全測評中心授權培訓機構組織的CWASP CSSP專業培訓。

(3)考試要求

通過中國信息安全測評中心組織的CWASP CSSP考試。

能力要求

申請成為註冊軟體安全開發人員(CWASP CSSP),具備一定軟體開發基礎,或有意向從事軟體開發的人員,包含軟體開發相關專業高校生。

職業準則

在中國信息安全測評中心註冊的CWASP CSSP必須保證嚴格履行職責並承諾完全遵守以下道德準則:

(1)必須誠實,公正,負責,守法;

(2)必須勤奮和勝任工作,提高專業能力和水平;

(3)必須保護信息系統、應用程式和系統的價值。

(4)必須接受中國信息安全測評中心的監督,在任何情況下,不損壞中國信息安全測評中心或註冊過程的聲譽,對中國信息安全測評中心針對CWASP CSSP而進行的調查應給予充分的合作;

(5)必須按規定向中國信息安全測評中心交納費用。

培訓方式

課堂培訓

CWASP CSSP培訓運營中心根據行業需求,定期舉辦CWASP CSSP現場培訓。

CWASP CSSP提供關於軟體安全開發生命周期(S-SDLC)的相關知識、技能和最佳實踐。

企業內訓

為企業或組織舉辦的CWASP CSSP現場培訓。

為企業或組織定製符合其業務發展的培訓課程內容。

機構簡介

認證機構

中國信息安全測評中心是中國專門從事信息技術安全測試和風險評估的權威職能機構。依據中央授權,測評中心的主要職能包括:負責信息技術產品和系統的安全漏洞分析與信息通報;負責黨政機關信息網路、重要信息系統的安全風險評估;開展信息技術產品、系統和工程建設的安全性測試與評估;開展信息安全服務和專業人員的能力評估與資質審核;從事信息安全測試評估的理論研究、技術研發、標準研製等。

運營機構

Seczone是國內領先的軟體安全開發生命周期(S-SDLC)解決方案提供商,專注於軟體安全領域技術研究,持續為客戶構建安全可靠的業務系統,讓企業交付更安全的軟體。

SecZone自主研發適合國內軟體開發行業特徵、完整覆蓋軟體開發全生命周期的S-SDLC雲平台,為雲計算、移動、Web、物聯網等行業客戶提供有競爭力的軟體安全設計、安全開發、安全測試、安全運維等諮詢、服務、工具和培訓,幫助客戶提升軟體安全能力,降低安全風險。

熱門詞條

聯絡我們