(ISC)2 注册软件生命周期安全师(Certified Secure Software Lifecycle Professional)(CSSLP?) 是信息安全行业唯一一个针对保障整个软件开发生命周期安全性的认证。从概念到规划、运行、维护直至废弃处理,此资格认证制定了在软件开发的各个阶段保证其安全性的行业标准和最佳实践。安全性的核心理念包含机密性、完整性、实用性、验证、授权与审计,于软件开发生命周期缺一不可。若不严守以上原理,信息将受到严重威胁。实践证明,在软件生命周期初期就考虑安全性并在各阶段保持安全性的方式,比当今常用的先发布后打补丁的方式,不但能节省30至100倍成本,更能大大提升工作效率。CSSLP 认证旨在验证考生在整个软件开发生命周期 (SDLC) 保障应用安全的能力,包括从信息收集到安全软件的编码、测试、发布及维护,以及供应链及软件采购方面。欲报考CSSLP认证的考生应在软件开发生命周期(SDLC)行业具备至少4年工作经验。CSSLP获准符合DoD信息保障系统架构及工程类别的 Level I 及 Level II 等级。
拥有CSSLP证书对于个人的好处:
将被公认为软件安全方面的专家
有能力遏制应用程序漏洞,为您的雇主提供更多价值
展示应用程序安全方面的专业知识
在同行中脱颖而出,在全球人力市场上拥有更高的声誉和竞争力
拥有 CSSLP 证书对于企业的好处:
打破黑客入侵,匆忙打补丁的被动局面
降低生产成本,减少漏洞,确保按时交付
提高组织及其开发团队的信誉
减少因软件安全漏洞导致的营收及声誉损失
确保企业遵守政府规定或行业规范
CSSLP适合对象:
IT总监/经理;安全经理;项目经理;软件项目经理
软件架构师;软件工程师;软件开发工程师;应用程序安全专家
软件采购分析员;渗透测试人员;质量保证测试员
CSSLP八大知识域
安全软件的概念:企业电脑系统采用集中式和分散式管理环境下软件开发需要关注的安全性含义及方法
安全软件的要求:获取在需求阶段设置的安全性控制点,将安全性融入全过程,识别重点安全目标,最大限度地提高软件安全性的同时尽量减少计划和进度中断。
安全软件设计:将安全要求转化为应用程序开发的设计元素,包括记录软件易受攻击的元素,威胁建模,定义特定的安全标准。
安全软件实施/编码:涉及编码和测试标准的应用,安全性测试工具的使用,包括模糊测试、静态代码分析工具及编码审查。
安全软件测试:安全性能集成QA测试,攻击弹性测试。
软件验收:软件验收阶段安全性的含义包括完成标准、风险接受和记录、独立测试的通用标准和方法。
软件部署、运行、维护和废弃处理:围绕软件平稳运行及管理的安全性问题。当软件产品达到使用寿命期限,所需采取的必要安全措施。
供应链及软件采购:为管理软件外包开发、采购、购买软件和相关服务时产生的风险提供了一个全面的知识大纲和行动指南。
CSSLP培训亮点
CSSLP培训计划是您学习软件生命周期安全性最佳实践、行业标准的专门途径,亦是通往 CSSLP 的关键。 本培训计划将使您了解和学习到如何将安全性融入软件生命周期的每个阶段,并详述了从确定软件要求、到软件规格和设计、软件测试至最终废弃应该采取的重要安全措施。
此强化培训计划指明了学习重点,并深入分解了 CSSLP 的各个领域。并包含:
100% 最新CSSLP教材与CSSLP中文讲义
北京汇哲信安科技有限公司简介
“汇哲科技”是由北京汇哲信安科技有限公司、上海汇哲信息科技有限公司等多个独立公司所组成。(简称汇哲科技或“SPISEC”)。长年致力于IT治理,信息安全,IT审计,IT服务管理,业务连续性,项目管理,领先理念等方面实践培训与研究,始终以培养国内信息安全专业人才、组织中国信息安全人交流为发展目标。作为国内领先的专业培训服务机构,汇哲科技长年致力于推广信息安全理论和实践,为学员提供“学习国际知识、拓宽职业道路、融入专业社区、持续提升能力”服务。
SPISEC与网络信息安全管理与服务教育部工程研究中心,上海交通大学联合成立:“汇哲信息技术联合培训基地”,该培训基地面向社会培养具备专业水平的信息安全专业人员,服务于政府和广大企业。SPISEC作为联合国训练研究所CIFAL上海汇哲信息安全培训部,长年从事国家援外信息技术培训项目。目前,汇哲科技具备众多国际与国内权威授权资质。
SPISEC为国内唯一一家以信息安全培训与后续服务为主的机构,整体培训重于实践和服务质量的精细、实用,及永久。讲师均具备15年以上工作经验,并长年致力于信息安全培训与咨询服务行业,具备资深的专业培训水平和丰富的实战经验。SPISEC专业、强大的后续服务团队专为学员随时解决考试认证、工作实践、企业指导等问题。并结合多年培训经验制定“汇哲培训服务三维体系”、“集团型企业人才规划体系”、“企业信息安全人才培养统一解决方案”以培训为基础、实践为目的、后续服务为保障。持续有效为企业和个人、第三方合作伙伴提供优质的培训服务。
SPISEC于2007年开始在业内陆续组织多场专业知识学习讲座和研讨,并持续发布多期专业学习期刊、安全通报、培训书籍、视频课件、攻防平台、技术环境。SPISEC至今为30000多名会员提供免费的学习指导服务,其中为3500多名学员直接提供培训辅导、认证考试、实践演练、人才规划、人才评估、人才培养、平台搭建、技术保障、技术支撑、意识宣贯等服务。学员现分布央企、国企、金融、运营商、能源、制造、互联网等多个行业。SPISEC的成立将更好地带动国内信息安全人才的培养和发展,保障国际信息安全学习联盟的基本运营,实现业内各领域有志之士的共同愿望,汇聚业内各领域的专业顶极人才。