2023年5月12日 星期五

軟體開發/應用程式安全性課程如何選擇?給開發工程師、系統架構施、分析師的推薦課程


什麼是軟體開發與應用程式安全性?

將安全實踐引入每個軟體開發生命週期,SSDLC已提倡多年,包括科技公司與軟體安全組織都在推動。每個軟體都有資安風險,若要確保安全性,需在開發過程的每個環節,落實相關的設計與驗證。

安全威脅主要來自於未經驗證輸入(Input Validation)的弱點,造成 SQL Injection、XSS 及 Command Injection 等攻擊。這些攻擊主要是因為程式開發者在軟體開發生命週期中未能考慮軟體安全的因素,例如對程式中的弱點無所認知、資安的意識不足,以及可能濫用第三方套件和應用程式版本過舊等所造成的漏洞問題。

為什麼要重視軟體開發與應用程式安全

多項研究都表明,大多數攻擊成功都是利用應用程式中的安全漏洞,隨著應用程式數量的增加以及複雜度的提高,這個問題變得越來越嚴重。現今的應用程式經常會透過多個網路提供,並連接至雲端,造成抵禦安全性威脅與漏洞的能力為之減弱。

10 年前軟體安全面臨的挑戰主要是保護桌面應用程式和靜態網站,這些範圍通常是簡單明確的,也比較容易加以保護。現在組織需要考慮外包開發、傳統應用程式、第三方、開放原始碼和商規元件等多種因素,這使得軟體供應鏈變得更加複雜,也增加了軟體安全的難度。

因此,組織需要一套應用程式安全解決方案,必須覆蓋整個開發階段,在一個新的軟體專案開發流程中,應該依據以往的專案經驗,同時制定安全需求,探討流程設計架構是否會造成安全問題,以及進行風險分析和安全測試,最後對專案程式進行品質面和安全面的風險分析,並盡可能修正風險問題。上線後也需要進行測試和模擬使用者可能的不安全操作,並回報可能產生的問題。

軟體開發與應用程式安全性課程介紹

以下為三張最為知名的第三方軟體開發與應用程式安全性認證,分別為 (ISC)²的CSSLP資安軟體開發專家認證課程、EC-Council CASE應用程式安全工程師認證課程、EC-Council Web 應用程式安全課程。

CSSLP:偏向流程面,探討開發流程安全性(開發安全的系統)
CASE:偏向技術面,探討程式語法層級安全性(寫出安全的程式)
WAHS:以紅隊角度對Web應用程式進行漏洞測試和安全性評估

CSSLP資安軟體開發專家認證課程

★課程重點★
CSSLP課程內容不涉及特定開發技術,而是著重在如何進行安全程式開發的流程與方法
CSSLP®(Certified Secure Software Lifecycle Professional)是一張針對參與軟體開發生命週期(SDLC)所有人員量身訂作的資安證照,其認證考試所測驗的是軟體開發相關人員對於軟體生命週期、漏洞、風險、資訊安全基本知識與法規遵循等各方面知識的了解與認知程度。

★適合對象★
軟體架構師、軟體工程師、軟體開發人員、應用程式安全專家、軟體程式經理、品質保證測試員、滲透測試員、軟體採購分析師、專案經理、資安經理、資訊科技總監/經理

★課程內容★
◎第一章 Secure Software Concepts Domain 軟體安全概論
◎第三章 Secure Software Requirements Domain 軟體安全需求
◎第四章 Secure Software Architecture and Design Domain 軟體安全架構與設計
◎第六章 Secure Software Testing Domain 軟體安全測試
◎第七章 Secure Software Deployment, Operations and Maintenance Domain 部署、操作與維護安全軟體
◎第八章 Secure Software Supply Chain Domain 軟體安全供應鏈 
◎第二章 Secure Software Lifecycle and Risk Management Domain 安全軟體生命週期與風險管理
◎第五章 Secure Software Implementation Domain 軟體安全開發
 
學會技能
◎制定軟體安全要求
◎從軟體開發生命週期的角度規劃與設計軟體安全性
◎在軟體開發過程中加入相對之安全機制
◎測試軟體安全性
◎維護軟體安全性

EC-Council CASE Java/.NET應用程式安全工程師認證課程

★課程重點★
協助開發人員了解如何編寫安全的應用程式,從各個層面探討安全開發,以有效防範惡意和錯誤程式碼的發生。實踐安全編碼帶來的成效,除了可以節省寶貴的精力、時間和金錢,也可以保全企業組織的資產與信譽。

★適合對象★
◎2年以上Java/.NET實務開發經驗 ◎有志成為Java/.NET應用程式安全工程師/安全分析師/安全測試專業人員 ◎工作範圍涉及開發、測試、管理或保護應用程式安全之專業人員

★課程內容★
◎第一章 Secure Software Concepts Domain 軟體安全概論
◎第三章 Secure Software Requirements Domain 軟體安全需求
◎第四章 Secure Software Architecture and Design Domain 軟體安全架構與設計
◎第六章 Secure Software Testing Domain 軟體安全測試
◎第七章 Secure Software Deployment, Operations and Maintenance Domain 部署、操作與維護安全軟體
◎第八章 Secure Software Supply Chain Domain 軟體安全供應鏈 
◎第二章 Secure Software Lifecycle and Risk Management Domain 安全軟體生命週期與風險管理
◎第五章 Secure Software Implementation Domain 軟體安全開發
 
學會技能
◎應用程式的安全、威脅與攻擊
◎應用程式安全需求收集
◎安全應用程式設計與架構
◎輸入驗證安全編碼實務
◎鑑別與授權
◎加密技術安全編碼實務
Session管理
◎錯誤處理安全編碼實務
◎靜態與動態應用程式安全測試(SAST & DAST)
◎安全部署與維護 

EC-Council Web 應用程式安全課程

★課程重點★
與CEH師出同門,WAHS為100%實戰導向的應用程式駭客課程,認證課程考試也是一個全程線上遠程監考的全實機演練考試。恆逸WAHS課程內容以Challenges的主題設計一連串OWASP TOP 10實作與觀念,課程適合所有技術水平的人,您將了解WEB應用程式的漏洞與WEB應用程式的駭客攻擊,從中學習保護應用程式。

★適合對象★
◎對網路安全有興趣者 ◎對應用程式安全性有興趣,希望能加強資安實作技巧的IT人員 ◎有志成為安全分析師、滲透測試人員、道德駭客或安全顧問等專業人員

★課程內容★
◎Web應用程式:駭客與安全介紹 ◎初學級挑戰:SQL資料隱碼攻擊(SQL Injection) ◎初學級挑戰:安全性錯誤配置(Security Misconfiguration) ◎初學級挑戰:跨網站腳本攻擊(Cross Site Scripting) ◎初學級挑戰:網路應用程式漏洞掃描和枚舉 (Scanning and Enumeration) ◎中級挑戰:SQL資料隱碼攻擊(SQL Injection) ◎中級挑戰:安全性錯誤配置(Security Misconfiguration) ◎中級挑戰:無效的存取控管(Broken Access Control) ◎精通級挑戰:無效的存取控管(Broken Access Control) ◎精通級挑戰:安全性錯誤配置(Security Misconfiguration) ◎精通級挑戰:伺服器層級認證與授權存取(Server Level Access) ◎專家級挑戰:伺服器層級認證與授權存取(Server Level Access) ◎專家級挑戰:安全性錯誤配置(Security Misconfiguration)
 
學會技能
◎ 了解Web應用程式滲透測試 ◎ 了解SQL Injection及命令注入攻撃 ◎ 了解CSRF及SSRF ◎ 了解安全性錯誤配置及目錄瀏覽 ◎ 了解Session劫持、點擊劫持 ◎ 了解身份驗證繞過、帳戶枚舉及字典攻擊及暴力破解 ◎ 了解不安全的直接對象引用保護(IDOR)、無效的存取控管、權限提升 ◎ 了解任意文件上傳及下載、文件篡改 ◎ 了解Request及Response封包分析 ◎ 了解漏洞掃描及網路掃描

0 意見:

張貼留言