CISAW安全软件开发培训时间安排                （共计5天）

天

内容标题

时间

第一天（上午）

职业素养讨论

9：00-12：00

自我介绍

姓名，教育经历，工作经历，软件开发相关经历，学习目的，素质要求理解，最难忘，最喜欢（事、颜色），最讨厌，最好的和最难合作的客户事例，最难的技术问题，最得意的工作成果等

老师点评

就关键问题进行点评，特别是在软件开发过程中需要注意的问题需要讨论清楚。

第一天（下午）

安全开发生命周期管理

1：30-4：30

安全开发的业界标准与实践

从最佳实践的角度，引入软件安全开发相关的标准与实践，精确定位各个标准实践对软件安全开发的借鉴意义。

安全开发生命周期

从生命周期的角度，分析软件开发各个阶段的安全要求与关键控制点。

第二天（上午）

开发安全合规

9：00-12：00

物理与逻辑环境合规建设

从合规的角度，展开安全开发环境建设所涉及的主要安全标准规范，分享合规建设的实践。

安全开发的角色分配与流程控制

讲解安全开发与测试环境角色分工的最佳实践，分享通用开发流程控制实践。

第二天（下午）

安全漏洞剖析

1：30-4：30

重大安全漏洞深入分析

基于最主流的安全漏洞（如OWASP、CWE等）展开，从漏洞本身着手，导出软件开发与测试过程中的控制点缺失，导出开发过程中的关键控制要求。通用弱点评价体系（CVSS）讲解，缺陷管理的最佳实践。

第三天（上午）

安全设计规范

9：00-12：00

安全架构

安全架构模型与安全规范。包括安全需求分析。

安全设计

高层设计、底层设计，及其接口功能规范等。

安全功能

讲解业界最佳实践所可能涉及的安全功能要求。

第三天（下午）

安全编码与测试

1：30-4：30

安全编码

详细探讨安全编码。

安全测试

展开安全测试的讨论，重点探讨渗透测试。

第四天（上午）

深入安全开发的核心

9：00-12：00

密码模块的安全实践

以安全开发最具挑战的密码模块展开安全设计的控制要求。

（转下页）

第四天（下午）

源代码检查实验

1：30-4：30

源代码自动和人工检查

给出代码实例（含常见安全问题），要求制定具体的安全检查规范，并提升代码的安全性。

第五天（上午）

项目管理

9：00-12：00

通用项目管理

项目管理综述，分类。

开发管理项目的管理实例化

结合开发类管理实例进一步实例化为软件开发类项目。

第五天（下午）

考试

1：30-4：30