安全开发:SDL安全开发生命周期培训课程
-
-
培训对象: 开发人员、安全工程师、测试人员、项目经理、产品经理。
-
-
培训目标:
-
理解安全开发生命周期(SDL)的各个阶段。
-
掌握需求阶段的安全需求和威胁建模方法。
-
能够在设计和编码阶段落实安全实践。
-
具备安全测试和上线前安全检查能力。
-
-
培训内容介绍:
-
一、 SDL概述与价值: 理解SDL在软件工程中的位置,对比传统开发与安全开发的区别,介绍微软SDL和BSIMM模型。
二、 需求阶段-安全需求定义: 识别业务的安全需求(认证、授权、审计、加密),编写安全需求文档。
三、 需求阶段-威胁建模(STRIDE): 使用STRIDE模型(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升)识别威胁,绘制数据流图(DFD)。
四、 设计阶段-安全架构设计: 遵循最小权限原则、纵深防御、默认安全等设计原则,进行安全架构评审。
五、 设计阶段-攻击面分析: 识别系统暴露的攻击面(API、端口、Web界面),采取措施减少攻击面。
六、 编码阶段-安全编码规范: 制定团队安全编码规范,避免常见漏洞(OWASP Top 10),使用IDE安全插件实时检查。
七、 编码阶段-静态代码扫描(SAST): 集成SonarQube、Fortify进行静态扫描,在CI/CD中设置质量门禁。
八、 测试阶段-动态安全测试(DAST): 使用AWVS、Burp Suite进行动态扫描,手动渗透测试验证漏洞。
九、 测试阶段-软件成分分析(SCA): 扫描第三方组件和依赖库,识别已知漏洞(CVE),更新或替换不安全组件。
十、 发布阶段-安全验收: 上线前安全检查清单(配置检查、漏洞修复确认、默认账号修改),发布安全公告。
十一、 运维阶段-漏洞应急响应: 建立漏洞应急响应流程,及时修复线上漏洞,更新安全补丁。
十二、 实战项目:SDL落地实践: 针对一个真实项目,从威胁建模开始到上线前检查,完整应用SDL流程。
如果您想学习本课程,请
预约报名
如果没找到合适的课程或有特殊培训需求,请
订制培训
除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请
服务特点:
海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。
专家力量:
中国科学院软件研究所,计算研究所高级研究人员
oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家
中科信软培训中心,资深专家或讲师
大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富
多年实际项目经历,大型项目实战案例,热情,乐于技术分享
针对客户实际需求,案例教学,互动式沟通,学有所获
