توسعه نرم افزار ایمن اصلی: راهنمای کامل CSSLP

سرفصل ها و درس ها

مقدمه Introduction

• مقدمه Introduction

• درباره امتحان About Exam

مفاهیم اصلی نرم افزار امن دامنه 1 Domain-1 Secure Software Core Concepts

• دامنه -1 محتوا Domain -1 Content

دامنه 1 - 1.1 مفاهیم اصلی Domain 1 - 1.1 Core Concepts

• 0-مقدمه 0-Introduction

• 1-دستورالعمل سیا 1-CIA Guideline

• 3- احراز هویت 3-Authentication

• 4-مجوز 4-Authorization

• 5- مسئولیت پذیری 5-Accountability

• 6-عدم انکار 6-Non Repudiation

• 7-سیکل عمر توسعه امن (SDL) 7-Secure Development Lifecycle (SDL)

• اجزای 8-SDL 8-SDL Components

• خلاصه و خلاصه Summary and Recap

• مفاهیم اصلی Core Concepts

دامنه 1 - 1.2 اصول طراحی امنیتی Domain 1 - 1.2 Security Design Principles

• 0-مقدمه 0-Introduction

• 1- اصول سیستم 1-System Tenets

• 2-اصول طراحی ایمن 2-Secure Design Tenets

• 4- دشمنان 4-Adversaries

• خلاصه و خلاصه Summary and Recap

• 3-مدل های امنیتی 3-Security Models

• اصول طراحی امنیتی Security design Prrinciples

دامنه 2 - الزامات نرم افزار امن Domain 2 - Secure Software Requirements

• دامنه 2 - محتوا Domain 2 - Content

دامنه 2 - 2.1 تعریف نرم افزار مورد نیاز Domain 2 - 2.1 Defining Software Requirements

• 0. مقدمه 0.Introduction

• 1. الزامات عملکردی 1. Functional Requirements

• 2. عملیاتی و استقرار مورد نیاز 2. Operational and deployment Requirements

• 3. خلاصه و خلاصه 3. Summary and Recap

• الزامات نرم افزار را تعریف کنید Define Software Requirements

دامنه 2- 2.2 شناسایی و تجزیه و تحلیل الزامات انطباق Domain 2- 2.2 Identify and Analyze Compliance Requirements

• 0. مقدمه 0. Introduction

• 1. مقررات و انطباق 1. Regulations and Compliance

• 2. طبقه بندی داده ها 2. Data Classification

• 3. حریم خصوصی 3. Privacy

• 4. خلاصه و خلاصه 4. Summary and Recap

• الزامات انطباق را شناسایی و تجزیه و تحلیل کنید Identify and Analyze Compliance Requirements

دامنه 2 - 2.3 موارد سوء استفاده و سوء استفاده Domain 2 - 2.3 Misuse and Abuse cases

• 0. مقدمه 0.Introduction

• 2. موارد سوء استفاده/سوءاستفاده 2. Misuse/Abuse Cases

• 3. ماتریس ردیابی الزامات 3. Requirements Traceability Matrix

• 4. کسب نرم افزار 4. Software Acquisition

• 5. خلاصه 5. Summary

• موارد سوء استفاده و سوء استفاده Misuse and Abuse cases

معماری و طراحی نرم افزار امن Secure Software Architecture and Design

• محتوا Content

3.1.2 تعریف معماری امنیتی 3.1.2 Defining the Security Architecture

• مقدمه Introduction

• مدل سازی تهدید را انجام دهید Perform Threat Modeling

• تعریف معماری امنیتی Defining the Security Architecture

• خلاصه و خلاصه Summary and Recap

Domain 3 - 3.2 Secure Software Design Domain 3 - 3.2 Secure Software Design

• انجام ارزیابی ریسک معماری Performing Architectural Risk Assessment

• ویژگی ها و محدودیت های امنیتی مدل (غیر عملکردی). Model (Nonfunctional) Security Properties and Constraints

• مدل سازی و طبقه بندی داده ها Model and Classify Data

• طراحی ایمن قابل استفاده مجدد را ارزیابی و انتخاب کنید Evaluate and Select Reusable Secure Design

• بررسی معماری و طراحی امنیتی را انجام دهید Perform Security Architecture and Design Review

• تعریف معماری عملیاتی امن Define Secure Operational Architecture

• مقدمه Introduction

• از اصول، الگوها و ابزارهای معماری و طراحی امن استفاده کنید Use Secure Architecture and Design Principles, Patterns, and Tools

• انجام طراحی رابط امن Performing Secure Interface Design

• 9-خلاصه 9-Summary

• معماری نرم افزار ایمن Secure Software Architecture

• طراحی نرم افزار ایمن Secure Software Design

دامنه 4 - پیاده سازی امن نرم افزار - محتوا Domain 4 - Secure Software Implementation - Content

• محتوا Content

دامنه 4 - 4.1 روش های کدگذاری امن Domain 4 - 4.1 Secure Coding Practices

• 0 مقدمه 0 Intro

• 1-امنیت اعلامی در مقابل امنیت امری 1-Declarative vs. Imperative Security

• 2-مدیریت حافظه 2-Memory Management

• 3- رسیدگی به خطاها 3-Error Handling

• 4-کدینگ رابط 4-Interface Coding

• 5- کاهش اولیه 5-Primary Mitigation

• 6- درس گرفتن از اشتباهات گذشته 6-Learning from Past Mistakes

• 7-اصول طراحی ایمن 7-Secure design principles

• 8- قابلیت اتصال 8-Interconnectivity

• 9-شکست های رمزنگاری 9-Cyrptographics Failures

• 10-مشکلات اعتبارسنجی ورودی 10-Input Validation Failuers

• 11-شکست های برنامه ریزی عمومی 11-General Programings Failures

• 12-راه حل فناوری 12-Technology Solution

• خلاصه و خلاصه Summary and Recap

• شیوه های کدنویسی ایمن Secure Coding Practices

دامنه 4 - 4.2 تجزیه و تحلیل کد برای خطرات امنیتی Domain 4 - 4.2 Analyze Code for Security Risks

• 0-مقدمه 0-Introduction

• 1-تحلیل کد 1-Code Analysis

• 2-Code/Peer Review 2-Code/Peer Review

• 3-اهداف بازنگری کد 3-Code Review Objectives

• 4-منابع اضافی اطلاعات آسیب پذیری 4-Additional Sources of Vulnerability Information

• 5-Top25 5-Top25

• 6-آسیب پذیری OWASP 6-OWASP Vulnerability

• 7-آسیب پذیری های رایج 7-Common Vulnerabilities

• 8-خلاصه 8-Summary

• تجزیه و تحلیل کد برای ریسک های امنیتی Analyze Code for Security Risks

دامنه 4 - 4.3 اجرای کنترل های امنیتی Domain 4 - 4.3 Implement Security Controls

• 0-مقدمه 0-Introduction

• 1-ریسک های امنیتی 1-Security Risks

• 2-اجرای کنترل های امنیتی 2-Implement Security Controls

• 3- اعمال امنیت 3-Applying Security

• 4-تکنیک های ضد دستکاری 4-Anti-tampering Techniques

• 5-تکنیک های کدگذاری دفاعی 5-Defensive Coding Techniques

• 6- کاهش اولیه 6-Primary Mitigations

• 7-ادغام امن اجزا 7-Secure Integration of Components

• 8- خلاصه و خلاصه 8- Summary and Recap

• اجرای کنترل های امنیتی Implement Security Controls

دامنه 5 - محتوای تست نرم افزار ایمن Domain 5 - Secure Software Testing Content

• محتوا Content

Domain 5 - 5.1 Security Cases Test Domain 5 - 5.1 Security Test Cases

• مقدمه Introduction

• 2- موارد تست امنیتی 2-Security Test Cases

• 3-Attack Surface Evaluation 3-Attack Surface Evaluation

• 4-تست نفوذ 4-Penetration Testing

• 5-روش های رایج 5-Common Methods

• 6-خلاصه و خلاصه 6-Summary and Recap

• موارد تست امنیتی Security Test Cases

دامنه 5 - استراتژی و طرح تست امنیت 5.2 Domain 5 - 5.2 Security Testing Strategy and Plan

• 0-مقدمه 0-Introduction

• 2- یک استراتژی و یک برنامه تست امنیتی تهیه کنید 2-Develop a Security Testing Strategy and A Plan

• 3-تست امنیت عملکردی 3-Functional Security Testing

• 4- تست امنیت غیر عملکردی - ص 4-Non Functional Security Testing - p

• 5-تکنیک های تست 5-Testing Techniques

• 6-محیط زیست 6-Environment

• 7-استانداردها 7-Standards

• 8-Crowd Sourcing 8-Crowd Sourcing

• 9-خلاصه و خلاصه 9-Summary and Recap

• استراتژی و طرح تست امنیت Security Testing Strategy and Plan

دامنه 6 - 6.1 پیکربندی امن و کنترل نسخه Domain 6 - 6.1 Secure Configuration and Version Control

• محتوا Content

• 0 - مقدمه 0 - Introduction

• 1 - پیکربندی امن و کنترل نسخه 1 - Secure Configuration and Version Control

• 2- استراتژی و نقشه راه را تعریف کنید 2 - Define Strategy and Roadmap

• 3 - امنیت را در یک ملاقات توسعه نرم افزار مدیریت کنید 3 - Manage Security Within a Software Development Met

• 4 استانداردها و چارچوب های امنیتی را شناسایی کنید 4 Identify Security Standards and Frameworks

• 5 - تعریف و توسعه اسناد امنیتی 5 - Define and Develop Security Documentation

• 6 - معیارهای امنیتی را توسعه دهید 6 - Develop Security Metrics

• 7 - نرم افزار انحلال 7 - Decommission Software

• 8 وضعیت امنیتی را گزارش دهید 8 Report Security Status

• 9 خلاصه و خلاصه 9 Summary and recap

• پیکربندی امن و کنترل نسخه Secure Configuration and Version Control

دامنه 6 - 6.2 مدیریت ریسک نرم افزار Domain 6 - 6.2 Software Risk Management

• 0-مقدمه 0-Introduction

• 1 - مدیریت یکپارچه ریسک 1 - Incorporate Integrated Risk Management

• 2 - بهبود مستمر را اجرا کنید 2 - Implement Continuous Improvement

• 3 خلاصه و خلاصه 3 Summary and Recap

• مدیریت ریسک نرم افزار Software Risk Management

دامنه 7 - استقرار امن نرم افزار، عملیات، نگهداری Domain 7 - Secure Software Deployment, Operations, Maintenance

• محتوا Content

دامنه 7 - 7.1 استقرار امن نرم افزار Domain 7 - 7.1 Secure Software Deployment

• 0 - مقدمه 0 - Introduction

• 2-تحلیل ریسک عملیاتی را انجام دهید 2-Perform Operational Risk Analysis

• 3-نرم افزار را به صورت ایمن منتشر کنید 3-Release Software Securely

• 4-Securely ذخیره و مدیریت Secur 4-Securely Store and Manage Secur

• 5- از نصب ایمن اطمینان حاصل کنید 5-Ensure Secure Installation

• 6-اجرای امنیت پس از استقرار 6-Perform Post-Deployment Securit

• 7-خلاصه 7-Summary

• استقرار امن نرم افزار Secure Software Deployment

7.2 عملیات نرم افزار و نگهداری ایمن 7.2 Secure Software Operations and Maintenance

• مقدمه Introduction

• OSATO OSATO

• نظارت مستمر امنیت اطلاعات را انجام دهید Perform Information Security Continuous Monitoring

• پشتیبانی از واکنش به حادثه Support Incident Response

• Patch Management را انجام دهید Perform Patch Management

• مدیریت آسیب پذیری را انجام دهید Perform Vulnerability Management

• حفاظت در زمان اجرا Runtime Protection

• پشتیبانی از تداوم عملیات Support Continuity of Operations

• ادغام اهداف سطح خدمات و توافق نامه های سطح خدمات Integrate Service Level Objectives and Service Level Agreements

• خلاصه Summary

• عملیات ایمن نرم افزار و نگهداری Secure Software Operations and Maintenance

زنجیره تامین نرم افزار امن Domain-8 Domain-8 Secure Software Supply Chain

• محتوا Content

دامنه 8 - مدیریت ریسک زنجیره تامین نرم افزار 8.1 Domain 8 - 8.1 Software Supply Chain Risk Management

• 0-مقدمه 0-Introduction

• 1-مدیریت ریسک زنجیره تامین نرم افزار را اجرا کنید 1-Implement Software Supply Chain Risk Management

• 2- امنیت نرم افزارهای شخص ثالث را تجزیه و تحلیل کنید 2-Analyze Security of Third-Party Software

• 3-تأیید نسب و منشأ 3-Verify Pedigree and Provenance

• 4-خلاصه و خلاصه 4-Summary and Recap

• مدیریت ریسک زنجیره تامین نرم افزار Software Supply Chain Risk Management

دامنه 8- 8.2 الزامات امنیتی تامین کننده Domain 8- 8.2 Supplier Security Requirements

• 0-Introductoin 0-Introductoin

• 1-اطمینان از الزامات امنیتی تامین کننده در فرآیند خرید 1-Ensure Supplier Security Requirements in the Acquisition Process

• 2-پشتیبانی از الزامات قراردادی 2-Support Contractual Requirements

• 3-خلاصه 3-Summary

• الزامات امنیتی تامین کننده Supplier Security Requirements

تست های تمرینی Practice Tests

• تست 1 Test 1

• تست 2 Test 2

10 برتر OWASP برای استانداردهای API Security 2023 OWASP Top 10 for API Security 2023 standards

• مقدمه Introduction

• چرا امنیت OWSAP 10 و API Why OWSAP 10 and API security

• مجوز سطح شیء شکسته - درک BOLA و ریسک Broken Object Level Authorization - Understanding BOLA and the Risk

• نمونه ها Examples

• استراتژی های کاهش Mitigation Strategies

• خلاصه Summary

• احراز هویت شکسته - خطر Broken Authentication - The risk

• نمونه ها Examples

• استراتژی های کاهش Mitigation Strategies

• مجوز سطح دارایی شی شکسته - ریسک Broken Object Property Level Authorization - The Risk

• نمونه ها Examples

• استراتژی های کاهش Mitigation Strategies

• خلاصه Summary

• مصرف نامحدود منابع - ریسک Unrestricted Resource Consumption - risk

• نمونه ها Examples

• استراتژی های کاهش Mitigation Strategies

• خلاصه Summary

• مجوز سطح عملکرد شکسته - ریسک Broken Function Level Authorization - Risk

• نمونه ها Examples

• استراتژی های کاهش Mitigation Strategies

• خلاصه Summary

• دسترسی نامحدود به جریان های تجاری حساس - ریسک Unrestricted Access to Sensitive Business Flows - Risk

• استراتژی های کاهش Mitigation Strategies

• خلاصه Summary

• جعل درخواست سمت سرور - خطر Server Side Request Forgery - risk

• نمونه ها Examples

• استراتژی های کاهش Mitigation Strategies

• خلاصه Summary

• پیکربندی اشتباه امنیتی - خطر Security Misconfiguration - Risk

• نمونه ها Examples

• استراتژی های کاهش Mitigation Strategies

• خلاصه Summary

• مدیریت نامناسب موجودی - ریسک Improper Inventory Management - Risk

• نمونه ها Examples

• استراتژی های کاهش Mitigation Strategies

• خلاصه Summary

• مصرف ناایمن API ها - ریسک Unsafe Consumption of APIs - Risk

• نمونه ها Examples

• استراتژی های کاهش Mitigation Strategies

• خلاصه Summary

• خلاصه نهایی Final Summary