软件安全开发-V4.pptxVIP

软件安全开发;课程内容;知识子域：软件安全开发生命周期;软件的概念和特点;软件开发的特点;软件安全重要性 – 软件危机;软件工程方法学;软件工程方法学;面向对象方法学的特点及优点;知识子域：软件安全开发生命周期;软件生命周期模型-瀑布模型;软件生命周期模型-迭代模型;软件生命周期模型-增量模型;软件生命周期模型-螺旋模型;其他软件开发方法;软件缺陷普遍存在;软件安全问题产生-内因;软件安全问题产生-外因;软件安全保障的含义及思路;软件安全保障的目标;软件安全保障与风险管理;传统软件开发中安全局限性;软件安全开发生命周期;软件安全问题越早解决成本越低;知识子域：软件安全开发生命周期;相关模型和研究;SDL;SDL的阶段和安全活动;正式发布软件后12个月内的漏洞对比 IE ：漏洞总数下降35%，高危漏洞数下降63% 操作系统：漏洞总数降低45% ;CLASP;CMMI;SAMM;BSI系列模型;BSIMM;各模型比较;知识子域：软件安全需求及设计;软件安全需求及安全设计的重要性;安全需求分析;需求分析过程;安全设计的重要性;软件安全设计;安全设计的主要活动;安全设计原则;降低攻击面;分析软件攻击面;降低攻击面策略;降低软件攻击面通常做法;威胁建模;威胁建模流程;威胁建模-确定对象;威胁建模-识别威胁;理解STRIDE六类威胁;威胁建模-评估威胁;威胁建模-消减威胁;知识子域：软件安全实现;通用安全编码原则-验证输入;验证输入-常见输入源;通用安全编码原则-避免缓冲区溢出;通用编码原则-避免缓冲区溢出;通用编码原则-避免缓冲区溢出;通用编码原则-程序内部安全;通用编码原则-程序内部安全;通用编码原则-安全调用组件;通用编码原则-安全调用组件;通用编码原则-安全调用组件;通用编码原则-禁用不安全函数;软件安全编译;源代码审核;“好”的源代码分析工具;知识子域：软件安全测试;软件测试;软件测试的基本概念;软件测试方法;软件安全测试;软件安全测试方法;模糊测试（Fuzz）;模糊测试;模糊测试;影响模糊测试效果的关键因素;渗透测试;渗透测试流程;渗透测试要点;灵活安排自己的“组合”;软件安全测试思路;知识子域：软件安全开发重要管理过程;项目安全需求分析和安???设计;软件安全开发角色;变更管理过程;配置管理过程;安全培训过程;安全监理过程;安全监理的工作流程;总结;谢谢，请提问题！