CSSLP 八大知识域

安全软件的概念 – 企业电脑系统采用集中式和分散式管理环境下软件开发需要关注的安全性含义及方法
  • 核心概念
  • 治理、风险、合规
  • 安全设计原则
  • 软件开发方法
  • 隐私
安全软件的要求 – 获取在需求阶段设置的安全性控制点,将安全性融入全过程,识别重点安全目标,最大限度地提高软件安全性的同时尽量减少计划和进度中断。
  • 策略分解
  • 功能性要求
  • 数据分类和归类
  • 操作性要求
安全软件设计 – 将安全要求转化为应用程序开发的设计元素,包括记录软件易受攻击的元素,威胁建模,定义特定的安全标准。
  • 设计过程
  • 通用架构安全
  • 设计考虑因素
  • 技术
安全软件实施/编码 – 涉及编码和测试标准的应用,安全性测试工具的使用,包括模糊测试、静态代码分析工具及编码审查。
  • 声明性安全 VS 强制编程式安全
  • 开发和编译环境
  • 漏洞数据库/列表
  • 代码/评审
  • 防御性编码方法与控制
  • 代码分析
  • 源代码和版本控制
  • 防篡改技术
安全软件测试 – 安全性能集成QA测试,攻击弹性测试。
  • 测试工件
  • 影响评估和纠正措施
  • 测试安全性和质量保证
  • 测试数据生命周期管理
  • 测试类型
软件验收 – 软件验收阶段安全性的含义包括完成标准、风险接受和记录、独立测试的通用标准和方法。
  • 发布前或部署前
  • 发布后
软件部署、运行、维护和废弃处理 – 围绕软件平稳运行及管理的安全性问题。当软件产品达到使用寿命期限,所需采取的必要安全措施。
  • 安装和部署
  • 软件废弃处理
  • 运行和维护
供应链及软件采购 – 为管理软件外包开发、采购、购买软件和相关服务时产生的风险提供了一个全面的知识大纲和行动指南。
  • 供应商风险评估
  • 软件交付及运维
  • 供应商开发
  • 供应商转变
  • 软件开发测试

 

登陆www.isc2.org/exam-outine 可下载CSSLP 考试大纲。

Comments are closed.