CISP0209软件安全开发.pptx

软件安全开发;课程内容;知识域：软件安全开发概述;软件安全重要性 – 软件危机;软件安全问题广泛存在;软件安全问题产生后果;漏洞情况统计;软件安全问题原因;软件漏洞逐渐增加;软件越来越复杂;漏洞与软件安全;美国重视安全开发和源代码安全;需要安全的软件;软件安全保障;软件安全保障目标;软件安全保障与风险管理;传统的软件开发局限性;知识域：软件安全开发概述;软件安全开发基本概念;安全软件开发生命周期;不同阶段修复漏洞的代价;相关模型和研究;可信计算安全开发生命周期;SDL使用;SDL发展历史;SDL的阶段和安全活动;SDL每个阶段用到的工具;IE采用SDL后的效果;BSI系列模型;软件安全的三根支柱;接触点模型;SSF;BSIMM;BSIMM结果图;SAMM;SAMM;OWASP SAMM;CLASP;CLASP介绍;TSP-Secure;各模型比较;知识域：软件安全开发的关键阶段;安全设计的重要性;安全设计目标;安全设计原则;安全设计原则;受攻击面;降低受攻击面的方法;较少软件受攻击面;微软产品ASR举例;威胁建模;威胁建模流程;威胁建模流程;STRIDE建模方法;理解STRIDE威胁;消减威胁举例;知识域：软件安全开发的关键阶段;通用安全编程准则;验证输入;验证输入——常见输入源;验证输入——常见数据类型;验证输入——常见数据类型;验证输入——常见数据类型;通用安全编程准则;避免缓冲区溢出;避免缓冲区溢出;避免缓冲区溢出——解决办法;通用安全编程准则;程序内部安全;程序内部安全;程序内部安全;通用安全编程准则;安全调用其他组件;安全调用其他组件;安全调用其他组件;通用安全编程准则;程序编写和编译;安全编码检查清单;参考安全编程规范;常见代码安全问题及处置办法;C/C++程序——缓冲区溢出;C/C++程序——检查输入;WEB安全风险;SQL注入简单示例;解决注入问题;跨站攻击;跨站攻击防御办法;源代码审核;代码审核工具;“好”的源代码分析工具;91;92;Fortify;知识域：软件安全开发的关键阶段;为什么要软件安全测试？;安全测试;模糊测试;Fuzz测试;Fuzz测试步骤;一份Fuzz测试结果（1995）;渗透测试;渗透测试流程;渗透测试要点;知识域：软件安全开发的关键阶段;项目安全需求分析和安全设计;软件安全开发角色;软件安全开发角色;加强安全培训;实施软件???全计划;灵活安排自己的“组合”;谢谢，请提问题！