CISP-SSDP注册软件安全开发专业人员认证(简称 CISP-SSDP),由中国信息安全测评中心实施,面向信息系统研发领域的工作人员,通过该培训将使相关人员熟悉软件安全开发的背景和过程,掌握软件安全开发各阶段的目的、主要任务和技术手段。CISP-SSDP 证书持有人主要从事信息系统软件编码、软件测试、软件集成、软件架构设计等软件开发相关工作,在全面掌握信息安全基本知识和技能的基础上,具有较强的信息系统安全开发能力、熟练掌握应用安全。
培训内容
网络安全法律法规:主要包括习近平强国思想、网络空间安全基础知识、信息安全保障、网络安全法律体系、我国网络安全战略发展、网络安全行业道德准则、信息安全行业标准。
软件安全基础概述:主要包括软件的本质与发展、软件安全危机与价值、企业安全风险、传统的SDLC与安全挑战、SDLC核心原则与活动。
软件安全开发核心: 主要包括安全需求捕获与分析、威胁建模理论与方法、安全架构与设计模式原理、安全编码规范、代码安全审查原理与静态分析原理、动态应用安全测试原理、模糊测试原理。
高级防护与DevSecOps: 主要包括交互式应用安全测试与运行时应用自我保护原理、渗透测试方法论、软件成分分析原理与方法、DevSecOps核心理念与持续安全集成方法论、安全部署与配置管理策略、安全监控与应急响应理论。
软件安全治理与供应链防护:主要包括安全治理框架与策略、安全合规基础与审计、供应链安全威胁概论、供应链安全防护策略。
软件安全开发实践:主要包括Web应用注入类漏洞实践、Web 应用前端与鉴权漏洞实践、不安全配置与文件处理实践、后端服务与API安全漏洞实践、组件安全与供应链攻击实践、SAST工具实战、DAST工具实战、SCA工具实战、CI/CD安全集成等实践知识。