课程

课程介绍

随着软件产业的快速发展,软件供应链愈发复杂多元,而复杂的软件供应链会引入一系列安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件呈快速增长态势,造成的危害也越来越大。软件供应链可划分为开发、交付、运行三大环节,每个环节都可能会引入供应链安全风险。

培训对象

从事相关工作及对本课程内容感兴趣的人士。

课程收益

理解安全开发治理;
理解软件安全需求和架构;
理解源代码缺陷;
理解软件安全部署;
理解供应链安全风险现状、安全挑战、软件风险和监管要求。

知识概要

-- 供应链安全风险形势和监管要求; 
-- 软件供应链安全现状; 
-- 软件供应链风险分析; 
-- 软件安全开发体系构建阶段; 
-- 设计阶段; 
-- 编码阶段; 
-- 发布运营阶段; 
-- 需求和安全需求; 
-- 安全需求分析方法;
-- 软件设计及安全设计的基本原则; 
-- 软件安全设计方法; 
-- 软件架构安全性分析; 
-- 威胁建模; 
-- 软件源代码缺陷; 
-- 重要常见缺陷分析; 
-- 软件安全部署; 
-- 软件项目管理安全。

课程大纲

模块

学习内容

第一天AM

供应链安全风险形势和监管要求

供应链安全风险形势和案例

供应链安全监管要求

软件供应链安全现状

国内外软件供应链安全发展现状

软件供应链的安全挑战

软件供应链风险分析

软件供应链风险现状

软件供应链风险因素分析

软件供应链的漏洞类型

软件供应链的攻击类型

软件安全开发体系构建阶段

SDL软件安全开发生命周期

DevSecOps

第一天PM

设计阶段

软件供应商风险管理流程

软件供应商评估模型

软件供应商风险管理的作用

编码阶段

构建详细的软件物料清单

使用基于SCA技术的工具

发布运营阶段

建立成熟的应急响应机制

构建完善的运营保障工具链

需求和安全需求

需求的定义、层次及分类

安全需求和安全需求工程

安全需求分析方法

常用安全需求分析方法

安全需求分析方法在实践中的应用

第二天AM

软件设计及安全设计的基本原则

软件设计的主要工作

软件安全设计的原则

减少软件受攻击面

软件安全设计方法

基于模式的软件安全设计

安全设计方法实现

软件架构安全性分析

软件架构的安全性

软件架构安全分析方法

威胁建模

威胁建模方法

威胁建模案例

第二天PM

软件源代码缺陷

源代码缺陷的基本概念

发现缺陷的方法

自动化缺陷检测技术

缺陷处置流程

代码审计工具

代码安全保障技术趋势

重要常见缺陷分析

缺陷种类划分

输入验证类缺陷分析

资源管理类缺陷分析

代码质量类缺陷分析

软件安全部署

软件部署过程

软件自身安全

基础环境安全

软件安全部署案例

软件项目管理安全

项目管理阶段

安全管理关键因素

认证过程

无认证考试

开班信息

暂无开班信息