1 安全軟件的概念(企業(yè)電腦系統(tǒng)采用集中式和分散式管理環(huán)境下軟件開發(fā)需要關(guān)注的安全性含義及方法。) ?核心概念
?治理�、風(fēng)險(xiǎn)、合規(guī)
?安全設(shè)計(jì)原則
?軟件開發(fā)方法
?隱私
2 安全軟件的要求(獲取在需求階段設(shè)置的安全性控制點(diǎn)���,將安全性融入全過程��,識(shí)別重點(diǎn)安全目標(biāo)����,*限度地提高軟件安全性的同時(shí)盡量減少計(jì)劃和進(jìn)度中斷���。) ?策略分解
?功能性要求
?數(shù)據(jù)分類和歸類
?操作性要求
3 安全軟件設(shè)計(jì)(將安全要求轉(zhuǎn)化為應(yīng)用程序開發(fā)的設(shè)計(jì)元素����,包括記錄軟件易受攻擊的元素��,威脅建模����,定義特定的安全標(biāo)準(zhǔn)�。) ?設(shè)計(jì)過程
?通用架構(gòu)安全
?設(shè)計(jì)考慮因素
?技術(shù)
4 安全軟件實(shí)施/編碼(涉及編碼和測(cè)試標(biāo)準(zhǔn)的應(yīng)用,安全性測(cè)試工具的使用����,包括模糊測(cè)試、靜態(tài)代碼分析工具及編碼審查�����。) ?聲明性安全 VS 強(qiáng)制編程式安全
?開發(fā)和編譯環(huán)境
?漏洞數(shù)據(jù)庫(kù)/列表
?代碼/評(píng)審
?防御性編碼方法與控制
?代碼分析
?源代碼和版本控制
?防篡改技術(shù)
5 安全軟件測(cè)試(安全性能集成QA測(cè)試,攻擊彈性測(cè)試����。) ?測(cè)試工件
?影響評(píng)估和糾正措施
?測(cè)試安全性和質(zhì)量保證
?測(cè)試數(shù)據(jù)生命周期管理
?測(cè)試類型
6 軟件驗(yàn)收(軟件驗(yàn)收階段安全性的含義包括完成標(biāo)準(zhǔn)、風(fēng)險(xiǎn)接受和記錄��、獨(dú)立測(cè)試的通用標(biāo)準(zhǔn)和方法����。) ?發(fā)布前或部署前
?發(fā)布后
7 軟件部署、運(yùn)行�����、維護(hù)和廢棄處理(圍繞軟件平穩(wěn)運(yùn)行及管理的安全性問題��。當(dāng)軟件產(chǎn)品達(dá)到使用壽命期限�,所需采取的必要安全措施。) ?安裝和部署
?軟件廢棄處理
?運(yùn)行和維護(hù)
8 供應(yīng)鏈及軟件采購(gòu)(為管理軟件外包開發(fā)���、采購(gòu)�����、購(gòu)買軟件和相關(guān)服務(wù)時(shí)產(chǎn)生的風(fēng)險(xiǎn)提供了一個(gè)全面的知識(shí)大綱和行動(dòng)指南��。) ?供應(yīng)商風(fēng)險(xiǎn)評(píng)估
?軟件交付及運(yùn)維
?供應(yīng)商開發(fā)
?供應(yīng)商轉(zhuǎn)變
?軟件開發(fā)測(cè)試
