آموزش ISC2 Certified Secure Software Cycle Life Professional (CSSLP) (2023) Cert Prep

سرفصل ها و درس ها

مقدمه Introduction

• آماده شدن برای CSSLP Prepping for the CSSLP

1. دامنه 1: مفاهیم نرم افزار امن 1. Domain 1: Secure Software Concepts

• مفاهیم نرم افزاری امن Secure software concepts

• آنچه شما باید بدانید What you should know

• اهداف امنیت اپلیکیشن The goals of application security

2. سه گانه سیا 2. The CIA Triad

• محرمانه بودن Confidentiality

• در دسترس بودن Availability

• صداقت Integrity

3. مدیریت هویت و دسترسی 3. Identity and Access Management

• مجوز Authorization

• عدم انکار Nonrepudiation

• مسئولیت پذیری Accountability

• حاکمیت، ریسک و انطباق Governance, risk, and compliance

• احراز هویت Authentication

4. کنترل های دسترسی 4. Access Controls

• میانجیگری کامل Complete mediation

• اقتصاد مکانیزم Economy of mechanism

• کمترین امتیاز Least privilege

• تفکیک وظایف Separation of duties

5. ملاحظات طراحی 5. Design Considerations

• یک نقطه شکست را حذف کنید Eliminate single point of failure

• تنوع دفاعی Diversity of defense

• مقبولیت روانی Psychological acceptability

• استفاده از اجزای موجود Leveraging existing components

• کمترین مکانیسم رایج Least common mechanism

• طراحی باز Open design

• تاب آوری Resiliency

• دفاع در عمق Defense in depth

6. دامنه 2: مدیریت چرخه عمر نرم افزار امن 6. Domain 2: Secure Software Lifecycle Management

• مدیریت چرخه عمر نرم افزار ایمن Secure software lifecycle management

7. پایه گذاری خود را 7. Laying Your Foundation

• ترویج فرهنگ امنیتی Promote security culture

• استراتژی و نقشه راه Strategy and roadmap

• روش های توسعه Development methodologies

• مدیریت ریسک یکپارچه Integrated risk management

8. تعیین انتظارات 8. Setting Expectations

• استانداردها و چارچوب های امنیتی Security standards and frameworks

• پیکربندی سخت افزار و نرم افزار Hardware and software configuration

• اسناد امنیتی Security documentation

• مدیریت پیکربندی مداوم Ongoing configuration management

9. بهبود در طول زمان 9. Improving Over Time

• گزارش وضعیت امنیتی Reporting security status

• معیارهای امنیتی Security metrics

• اعمال عملیات ایمن Implement secure operations practices

• بهبود مستمر Continuous improvement

• نرم افزار انحلال Decommission software

• مجوزها و آرشیوها را مدیریت کنید Manage licenses and archives

10. دامنه 3: الزامات نرم افزار امن 10. Domain 3: Secure Software Requirements

• تعیین الزامات امنیتی Determining security requirements

11. الزامات امنیتی 11. Security Requirements

• تجزیه سیاست Policy decomposition

• الزامات غیر کاربردی Nonfunctional requirements

• الزامات عملکردی Functional requirements

• حقوقی، نظارتی و صنعتی Legal, regulatory, and industry

12. الزامات حریم خصوصی 12. Privacy Requirements

• رضایت کاربر User consent

• امنیت در مقابل حریم خصوصی Security vs. privacy

• ناشناس سازی داده ها Data anonymization

• ذخیره سازی داده های خصوصی Private data storage

• منش Disposition

13. الزامات طبقه بندی داده ها 13. Data Classification Requirements

• انواع داده ها Types of data

• مالکیت داده ها Data ownership

• چرخه عمر داده Data lifecycle

• برچسب زدن Labeling

14. اعتبار بخشیدن به الزامات شما 14. Validating Your Requirements

• ماتریس ردیابی نیازمندی های امنیتی Security requirement traceability matrix

• موارد سوء استفاده و سوء استفاده Misuse and abuse cases

• مشخصات نرم افزار مورد نیاز Software requirement specifications

15. دامنه 4: معماری و طراحی نرم افزار امن 15. Domain 4: Secure Software Architecture and Design

• طراحی نرم افزار ایمن Secure software design

16. مدل سازی تهدید 16. Threat Modeling

• تهدیدهای رایج را درک کنید Understand common threats

• مدل سازی تهدید چیست؟ What is threat modeling?

• ارزیابی سطح حمله Attack surface evaluation

17. معماری امنیتی 17. Security Architecture

• محاسبات فراگیر و فراگیر Pervasive and ubiquitous computing

• ارزیابی ریسک های معماری Architectural risk assessments

• اینترنت و اپلیکیشن های موبایل غنی Rich internet and mobile applications

• سیستم های کنترل Control systems

• معماری های کاربردی سنتی Traditional application architectures

• سیستم های مبتنی بر مولفه Component-based systems

• شناسایی و اولویت بندی کنترل ها Identifying and prioritizing controls

• ابزارهای افزایش امنیت Security enhancing tools

• ملاحظات سیستم تعبیه شده Embedded system considerations

• محاسبات شناختی Cognitive computing

• معماری های ابری Cloud architectures

• الگوهای معماری و طراحی ایمن Secure architecture and design patterns

18. طراحی امنیتی 18. Security Design

• بررسی معماری و طراحی امنیتی Security architecture and design review

• طراحی کنترل های داده Designing data controls

• معماری عملیاتی ایمن Secure operational architecture

• اجزای یک محیط امن Components of a secure environment

• طراحی کنترل شبکه و سرور Designing network and server controls

• اصول و الگوهای طراحی ایمن Secure design principles and patterns

• طراحی رابط امن Secure interface design

19. مدل سازی 19. Modeling

• ویژگی ها و محدودیت های غیر کاربردی Nonfunctional properties and constraints

• مدل سازی و طبقه بندی داده ها Data modeling and classification

20. دامنه 5: پیاده سازی امن نرم افزار 20. Domain 5: Secure Software Implementation

• اجرای امن نرم افزار Secure software implementation

21. شیوه های کدگذاری ایمن 21. Secure Coding Practices

• تکنیک های جداسازی Isolation techniques

• امنیت ریزمعماری پردازنده Processor microarchitecture security

• ورودی ها و خروجی ها Inputs and outputs

• امنیت جریان داده Data-flow security

• محافظت از اسرار Protecting secrets

• اعلان متغیرها Declaring variables

• استقرار و عملیات Deployment and operations

22. یافتن و رفع آسیب پذیری ها 22. Finding and Fixing Vulnerabilities

• 10 برتر OWASP: 6-10 The OWASP Top 10: 6-10

• شناسایی خطرات Identifying risks

• پرداختن به خطرات Addressing risks

• OWASP برتر 10: 1-5 The OWASP Top 10: 1-5

• شمارش ضعف مشترک (CWE) Common Weakness Enumeration (CWE)

23. امنیت کامپوننت 23. Component Security

• کدها و کتابخانه های شخص ثالث Third-party code and libraries

• اجرای کنترل های امنیتی Implementing security controls

• امنیت در فرآیند ساخت Security in the build process

• یکپارچه سازی اجزا Component integration

24. دامنه 6: تست نرم افزار امن 24. Domain 6: Secure Software Testing

• تست نرم افزار ایمن Secure software testing

25. توسعه موارد تست امنیتی 25. Developing Security Test Cases

• تضمین یک رویکرد جامع Ensuring a comprehensive approach

• درک محیط آزمون شما Understanding your test environment

• اعتبار سنجی رمزنگاری Validating cryptography

• اتوماسیون در مقابل تست دستی Automation vs. manual testing

26. توسعه یک استراتژی تست 26. Developing a Testing Strategy

• تأیید و تأیید اسناد Verifying and validating documentation

• استفاده از منابع خارجی Leveraging external resources

• گروه بندی تست های خود Grouping your tests

27. انجام تست های امنیتی 27. Conducting Security Tests

• ایمن سازی داده های تست Securing test data

• تست تایید و تایید Verification and validation testing

• شناسایی عملکرد غیرمستند Identifying undocumented functionality

28. بررسی نتایج 28. Reviewing the Results

• پیامدهای امنیتی نتایج آزمایش Security implications of test results

• طبقه بندی و ردیابی خطاهای امنیتی Classifying and tracking security errors

29. دامنه 7: استقرار امن نرم افزار، عملیات، و نگهداری 29. Domain 7: Secure Software Deployment, Operations, and Maintenance

• استقرار، عملیات و نگهداری ایمن نرم افزار Secure software deployment, operations, and maintenance

30. استقرار نرم افزار شما 30. Deploying Your Software

• انتشار نرم افزار به صورت ایمن Releasing software securely

• انجام تحلیل ریسک عملیاتی Performing an operational risk analysis

• اطمینان از نصب ایمن Ensuring secure installation

• تست امنیتی پس از استقرار Post-deployment security testing

• ذخیره و مدیریت داده های امنیتی Storing and managing security data

31. تغییر در عملیات 31. Shifting Into Operations

• اهداف و توافقات سطح خدمات Service level objectives and agreements

• پشتیبانی از تداوم عملیات Support continuity of operations

• نظارت مستمر امنیتی Continuous security monitoring

• اخذ تاییدیه امنیتی برای فعالیت Obtaining security approval to operate

• پشتیبانی از واکنش به حادثه Support incident response

32. نگهداری از نرم افزار شما 32. Maintaining Your Software

• مدیریت آسیب پذیری Vulnerability management

• مدیریت پچ Patch management

• حفاظت در زمان اجرا Runtime protection

33. دامنه 8: زنجیره تامین نرم افزار امن 33. Domain 8: Secure Software Supply Chain

• زنجیره تامین نرم افزار ایمن Secure software supply chain

34. مدیریت ریسک زنجیره تامین 34. Supply Chain Risk Management

• نظارت بر تغییرات و آسیب پذیری ها Monitoring changes and vulnerabilities

• پاسخ به آن خطرات Responding to those risks

• ارزیابی ریسک اجزاء Assessing components' risks

• نگهداری از اجزای شخص ثالث Maintaining third-party components

• شناسایی و انتخاب اجزاء Identifying and selecting components

35. از امنیت نرم افزار اطمینان حاصل کنید 35. Ensure Software Security

• تأیید شجره و منشأ Verifying pedigree and provenance

• تجزیه و تحلیل امنیت نرم افزار شخص ثالث Analyzing third-party software security

36. آن را به صورت کتبی دریافت کنید 36. Get It in Writing

• امنیت در فرآیند کسب Security in the acquisition process

• الزامات قراردادی Contractual requirements

37. تدارکات امتحانی 37. Exam Logistics

• الزامات آموزش مداوم Continuing education requirements

• تست های تمرینی Practice tests

• ثبت نام در آزمون Registering for the exam

• محیط امتحان Exam environment

• نکات امتحانی Exam tips

• الزامات تجربه Experience requirements

• قبولی در امتحان Passing the exam

نتیجه گیری Conclusion

• مراحل بعدی Next steps