软件安全工程培训课程体系（选修）

专题划分

专题一：软件安全工程基础
专题二：安全需求工程
专题三：安全架构与设计
专题四：安全编码实践
专题五：软件漏洞分析与利用
专题六：安全测试与漏洞挖掘
专题七：软件供应链安全
专题八：DevSecOps与自动化安全
专题九：安全运维与事件响应
专题十：隐私保护与合规
专题十一：新兴技术安全（AI/物联网/云）
专题十二：综合实践与安全成熟度

专题一：软件安全工程基础

培训对象：

• 新入职的安全工程师、开发人员

• 项目经理、质量管理人员

• 需要建立安全意识的全体研发人员

培训目标：
理解软件安全的基本概念、核心原则与安全工程框架，掌握安全在软件开发生命周期中的定位，树立"安全左移"的思维。

培训内容：

1. 软件安全的定义与内涵：机密性、完整性、可用性在软件中的体现

2. 安全工程与软件工程的关系：从传统安全到内生安全

3. 常见软件安全威胁：OWASP Top 10、CWE Top 25、恶意代码类型

4. 安全工程框架：NIST SSDF、BSIMM、OpenSAMM

5. 安全左移理念：在需求、设计阶段引入安全，而非仅靠测试

6. 安全成熟度模型：从混乱到优化的演进路径

7. 安全文化与团队建设：安全 champion、红蓝紫团队

8. 安全经济学：漏洞修复成本曲线、安全投入产出比

9. 安全法规与标准基础：网络安全法、数据安全法、ISO 27034

10. 典型安全事件案例分析：Equifax、SolarWinds、Log4j

11. 安全工程师能力模型：技术深度、威胁思维、沟通协作

12. 综合研讨：企业软件安全现状评估与改进方向

专题二：安全需求工程

培训对象：

• 需求分析师、产品经理

• 安全架构师、系统分析师

• 需要定义安全需求的开发人员

培训目标：
掌握安全需求的获取、分析与编写方法，能够运用威胁建模识别安全需求，在项目早期建立安全基线。

培训内容：

1. 安全需求分类：功能性安全需求、非功能性安全需求

2. 安全需求来源：法律法规、行业标准、组织策略、风险评估

3. SQUARE流程模型：安全需求获取的九步法

4. 威胁建模基础：STRIDE模型（欺骗、篡改、否认、信息泄露、拒绝服务、权限提升）

5. 威胁建模工具实践：OWASP Threat Dragon、Microsoft Threat Modeling Tool

6. 攻击树与数据流图：识别攻击路径与暴露面

7. Evil User Stories：从攻击者视角定义安全需求

8. 滥用用例（Misuse Cases）：识别系统如何被滥用

9. 安全需求优先级划分：基于风险的安全需求排序

10. 安全需求文档化：需求条目、验收标准、测试用例关联

11. 隐私需求识别：数据最小化、知情同意、跨境传输

12. 综合实战：对某Web应用进行威胁建模并输出安全需求

专题三：安全架构与设计

培训对象：

• 软件架构师、安全架构师

• 系统设计师、技术负责人

• 需要设计安全系统的开发人员

培训目标：
掌握安全架构设计的原则与方法，能够运用安全设计模式、攻击面分析、纵深防御等策略，设计抗攻击的软件系统。

培训内容：

1. 安全架构设计原则：纵深防御、最小权限、默认安全、失败安全

2. 攻击面分析与最小化：减少暴露接口、关闭非必要服务

3. 安全设计模式：认证模式、授权模式、安全上下文、安全会话

4. 身份认证架构：多因素认证、单点登录、OAuth2/OIDC

5. 访问控制模型：RBAC（基于角色的访问控制）、ABAC（基于属性的访问控制）

6. 密码学应用架构：加密策略、密钥管理、硬件安全模块

7. 安全通信架构：TLS/mTLS、API安全、消息加密

8. 微服务安全设计：服务间认证、API网关、零信任架构

9. 数据安全架构：数据分类、加密存储、脱敏策略

10. 架构风险分析（ARA）：识别架构层面的安全弱点

11. 安全架构评审：评审检查表、常见架构漏洞

12. 综合实战：为微服务系统设计完整的安全架构

专题四：安全编码实践

培训对象：

• 软件开发工程师

• 代码审查人员

• 需要编写安全代码的测试人员

培训目标：
掌握常见编程语言的安全编码规范与最佳实践，能够避免OWASP Top 10等编码漏洞，编写安全可靠的代码。

培训内容：

1. 输入验证与输出编码：白名单验证、数据净化、编码输出

2. SQL注入防护：参数化查询、ORM安全、存储过程

3. 跨站脚本（XSS）防护：上下文相关编码、CSP策略、HttpOnly

4. 跨站请求伪造（CSRF）防护：Anti-CSRF令牌、SameSite Cookie

5. 认证与会话管理：安全密码存储、会话固定保护、超时机制

6. 访问控制实现：垂直权限、水平权限的编码控制

7. 文件操作安全：路径遍历防护、文件上传验证、临时文件安全

8. 内存安全：缓冲区溢出防护、整数溢出检查（C/C++）

9. 并发与多线程安全：线程安全、死锁预防、资源竞争

10. 错误处理与日志：避免信息泄露、安全日志记录规范

11. 加密实现最佳实践：使用成熟库、避免自定义加密

12. 综合实战：修复包含多个漏洞的Web应用代码

专题五：软件漏洞分析与利用

培训对象：

• 安全测试人员、渗透测试工程师

• 开发人员需要理解漏洞原理

• 安全运维人员

培训目标：
掌握常见软件漏洞的成因、检测方法与利用技术，能够从攻击者视角理解漏洞，提升漏洞修复的有效性。

培训内容：

1. 漏洞分类体系：CWE、OWASP分类、CVSS评分标准

2. 缓冲区溢出原理：栈溢出、堆溢出、格式化字符串漏洞

3. 整数溢出与符号问题：整数溢出、有符号/无符号混淆

4. Web漏洞深入：SQL注入变种、XSS变种、SSRF、XXE

5. 反序列化漏洞：Java/PHP/Python反序列化原理与利用

6. 竞争条件漏洞：TOCTOU（检查时间与使用时间）问题

7. 权限提升漏洞：本地提权、内核漏洞利用

8. 漏洞利用开发基础：Shellcode编写、ROP链构建

9. 漏洞利用工具：Metasploit框架、Exploit-DB使用

10. 漏洞分析与调试：GDB、WinDbg、OllyDbg

11. 漏洞缓解技术：ASLR、DEP、栈保护、CFG

12. 综合实战：复现已知漏洞并编写POC（概念验证）代码

专题六：安全测试与漏洞挖掘

培训对象：

• 安全测试工程师、渗透测试人员

• QA工程师需要安全测试技能

• 开发人员希望进行自测

培训目标：
掌握安全测试的方法与技术，能够运用SAST、DAST、IAST、模糊测试等手段发现软件安全缺陷，并验证修复效果。

培训内容：

1. 安全测试类型：静态测试（SAST）、动态测试（DAST）、交互式测试（IAST）

2. 静态应用安全测试（SAST）工具：SonarQube、Fortify、Checkmarx

3. 动态应用安全测试（DAST）工具：OWASP ZAP、Burp Suite、AppScan

4. 软件成分分析（SCA）：OWASP Dependency Check、Snyk、Black Duck

5. 模糊测试（Fuzzing）技术：生成式、变异式、协议Fuzzing

6. 渗透测试流程：信息收集、漏洞扫描、漏洞验证、权限提升

7. Web渗透测试实战：使用Burp Suite进行SQL注入、XSS测试

8. API安全测试：认证测试、授权测试、参数篡改、速率限制

9. 移动应用安全测试：MobSF、Drozer、Frida基础

10. 网络层测试：Nmap、Wireshark、TCPDump

11. 测试报告编写：漏洞描述、复现步骤、风险评级、修复建议

12. 综合实战：对Web应用进行完整安全测试并输出报告

专题七：软件供应链安全

培训对象：

• 开发人员、架构师

• 采购人员、供应商管理人员

• 安全合规人员

培训目标：
理解软件供应链安全的风险与挑战，掌握第三方组件管理、开源合规、SBOM、供应商评估的方法，保障软件来源安全。

培训内容：

1. 软件供应链安全概念：开源软件、商业组件、开发工具、第三方服务

2. 供应链攻击案例深度解析：SolarWinds、Codecov、Log4j

3. 软件物料清单（SBOM）标准：SPDX、CycloneDX格式

4. SBOM生成与管理：自动化生成工具、SBOM仓库

5. 开源许可证合规：GPL、MIT、Apache等合规要求

6. 第三方组件漏洞管理：CVE监控、漏洞评估、修复跟踪

7. 依赖项扫描工具集成：在CI/CD中集成SCA扫描

8. 内部源管理：私有仓库安全、镜像代理、缓存策略

9. 供应商安全评估：安全问卷、合同条款、持续监控

10. 开发环境供应链安全：IDE插件、基础镜像、工具链

11. 软件签名与完整性验证：代码签名、包完整性校验

12. 综合实战：构建企业SBOM管理流程并设置质量门禁

专题八：DevSecOps与自动化安全

培训对象：

• DevOps工程师、平台工程师

• 安全自动化人员、开发人员

• 需要构建CI/CD安全流水线的技术人员

培训目标：
掌握DevSecOps理念与实践方法，能够将安全工具无缝集成到CI/CD流水线中，实现安全自动化、门禁控制和持续监控。

培训内容：

1. DevSecOps核心理念：安全左移、自动化、持续监控

2. CI/CD安全集成点：代码提交、构建、测试、部署各阶段

3. 安全工具链集成：在Jenkins/GitLab CI中集成SAST/DAST/SCA

4. 基础设施即代码（IaC）安全：Terraform、CloudFormation安全扫描

5. 容器镜像安全：漏洞扫描（Trivy/Clair）、镜像签名（Cosign）

6. Kubernetes安全配置：Pod安全标准、网络策略、RBAC

7. 密钥与凭证管理：HashiCorp Vault、K8s Secrets加密

8. 自动化安全测试：在流水线中自动化执行安全测试

9. 质量门禁（Quality Gates）：漏洞阈值设置、阻断策略

10. 安全即代码：将安全策略以代码形式管理

11. DevSecOps度量：漏洞发现时间、修复时间、阻断率

12. 综合实战：在GitLab CI中集成SAST/SCA并设置质量门禁

专题九：安全运维与事件响应

培训对象：

• 安全运维工程师、SRE

• 事件响应团队成员

• 系统管理员

培训目标：
掌握软件运行环境的安全运维技能，能够建立安全监控体系，制定事件响应预案，快速处置安全事件，保障业务连续性。

培训内容：

1. 安全运维体系：监控、告警、响应、审计、改进

2. 安全监控数据源：系统日志、应用日志、网络流量、威胁情报

3. SIEM（安全信息与事件管理）平台：日志收集、关联分析、告警

4. 入侵检测系统（IDS/IPS）：Snort、Suricata规则配置

5. 端点检测与响应（EDR）：CrowdStrike、SentinelOne

6. 事件响应流程：准备、检测、分析、遏制、根除、恢复、复盘

7. 数字取证基础：内存取证（Volatility）、磁盘取证

8. 恶意代码分析：静态分析、动态分析、沙箱技术

9. 应急响应工具包：TheHive、Cortex、Velociraptor

10. 漏洞披露与修复流程：CVE发布、补丁管理

11. 业务连续性计划（BCP）与灾难恢复（DR）

12. 综合实战：模拟勒索软件事件应急响应全过程

专题十：隐私保护与合规

培训对象：

• 安全工程师、合规专员

• 产品经理、法务人员

• 需要处理个人数据的开发人员

培训目标：
掌握隐私保护法规要求与技术实现方法，能够进行隐私影响评估（PIA），实现数据最小化、知情同意、数据主体权利响应。

培训内容：

1. 隐私保护法规框架：个人信息保护法、GDPR、CCPA核心要点

2. 隐私设计（Privacy by Design）：七大原则与实践

3. 数据分类分级：个人敏感信息识别、数据分级标准

4. 隐私影响评估（PIA）：流程、方法、报告模板

5. 告知同意机制：隐私政策编写、同意管理、撤回同意

6. 数据主体权利响应：访问权、删除权、更正权、可携带权

7. 数据最小化实现：收集范围限制、存储期限设置

8. 数据脱敏与匿名化：静态脱敏、动态脱敏、匿名化技术

9. 跨境数据传输合规：安全评估、标准合同、认证

10. 隐私保护技术：差分隐私、联邦学习、可信执行环境

11. 合规审计准备：文档梳理、过程记录、整改跟踪

12. 综合实战：为某应用进行隐私影响评估并输出报告

专题十一：新兴技术安全（AI/物联网/云）

培训对象：

• 前沿技术研发人员

• 安全架构师、技术负责人

• 需要应对新兴安全挑战的从业者

培训目标：
掌握人工智能、物联网、云计算等新兴技术领域的安全挑战与防护方法，能够应对新型攻击面，保障新兴技术的安全应用。

培训内容：

1. AI安全威胁概述：模型窃取、数据投毒、对抗性攻击

2. 机器学习模型安全：训练数据安全、模型完整性、隐私泄露

3. 对抗性攻击与防御：对抗样本生成、对抗训练、防御蒸馏

4. 大语言模型（LLM）安全：提示注入、越狱攻击、内容安全

5. 物联网（IoT）安全架构：感知层、网络层、应用层防护

6. 物联网设备安全：固件安全、安全启动、硬件安全

7. 云安全责任共担模型：IaaS/PaaS/SaaS的安全边界

8. 云平台安全配置：安全组、IAM策略、云安全中心

9. 容器安全：镜像扫描、运行时安全、K8s安全配置

10. 无服务器（Serverless）安全：函数权限、事件源安全

11. 区块链安全：智能合约漏洞、共识机制安全、私钥管理

12. 综合实战：为AI模型应用设计安全防护方案

专题十二：综合实践与安全成熟度

培训对象：

• 完成前序学习的各类人员

• 安全团队负责人、质量经理

• 准备推动安全工程实践的从业者

培训目标：
通过完整项目案例的综合实践，整合软件安全工程全流程技能，掌握安全成熟度评估方法，制定组织级安全改进路线图。

培训内容：

1. 综合案例导入：某互联网业务系统安全工程实践

2. 安全需求定义：威胁建模、安全需求文档化

3. 安全架构设计：零信任架构、纵深防御设计

4. 安全编码与审查：安全编码规范、代码审查实践

5. 安全测试实施：SAST/DAST/SCA工具应用

6. CI/CD安全集成：安全门禁、自动化测试

7. 漏洞管理与修复：漏洞跟踪、补丁发布

8. 安全事件响应：模拟演练、复盘改进

9. 安全成熟度评估：BSIMM/OpenSAMM评估方法

10. 安全改进路线图：现状诊断、目标设定、行动计划

11. 安全文化建设：培训、激励、度量、反馈

12. 综合大作业：为企业设计完整的软件安全工程实施方案

如果您想学习本课程，请预约报名
如果没找到合适的课程或有特殊培训需求，请订制培训
除培训外，同时提供相关技术咨询与技术支持服务，有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916
技术服务需求表点击在线申请

服务特点：
海量专家资源，精准匹配相关行业，相关项目专家，针对实际需求，顾问式咨询，互动式授课，案例教学，小班授课，实际项目演示，快捷高效，省时省力省钱。

专家力量：
中国科学院软件研究所，计算研究所高级研究人员
oracle,微软，vmware，MSC,Ansys，candence,Altium,达索等大型公司高级工程师，项目经理，技术支持专家
中科信软培训中心，资深专家或讲师
大多名牌大学，硕士以上学历，相关技术专业，理论素养丰富
多年实际项目经历，大型项目实战案例，热情，乐于技术分享
针对客户实际需求，案例教学，互动式沟通，学有所获

 点击进入报名表

咨询电话：010-62883247

                4007991916

咨询邮箱：soft@info-soft.cn  

 

微信咨询 随时听讲课 聚焦技术实践