آموزش کامل CSSLP - چرخه حیات نرم افزار ایمن "2024

سرفصل ها و درس ها

مقدمه Introduction

• به دوره CSSLP خوش آمدید! Welcome to CSSLP Course!

• منشور اخلاقی ISC2 ISC2 Code of Ethics

• **چگونه از این دوره بیشترین بهره را ببرید** **How to get the most out of this Course**

• درباره ترینر About Trainer

دامنه 1 - مفاهیم نرم افزار امن Domain 1 - Secure Software Concepts

• نرم افزار در زندگی واقعی Software in Real Life

• نحوه نگارش برنامه و درک OOSD و CBD How Program is written and understand OOSD & CBD

• روش های توسعه نرم افزار Software Development Methodologies

• به حرکت خود ادامه دهید: بر موانع غلبه کنید، موفقیت متحد شماست! Keep Moving: Overcome Obstacles, Success is Your Ally!

• مهندسی مجدد نرم افزار و مهندسی معکوس Software Re-Engineering and Reverse Engineering

• برنامه نویسی امری در مقابل اعلامی Imperative vs Declarative Programming

• OOP OOP

• ابزارهای کدنویسی و کامپایلرها Coding tools and Compilers

• زبان های برنامه نویسی Programming Languages

• آیا امنیت کل نگر هستید؟ Is you Security Holistic?

• امنیت و کیفیت Security and Quality

• هدف امنیتی Security Objective

• AAA AAA

• وزارت امور خارجه و بیومتریک MFA & Biometric

• مجوز Authorisation

• حسابداری Accounting

• مدل های BLP، BIBA BLP, BIBA Models

• مدل های کلارک ویلسون و برویر نش Clark Wilson & Brewer Nash Models

• مفاهیم طراحی ایمن Secure Design Concepts

• مفاهیم کنترل دسترسی Access Control Concepts

• طراحی امن در مقابل کدگذاری امن Secure Design vs Secure Coding

• بدافزار Malware

• اصطلاحات امنیتی Security Terminologies

• آسیب پذیری امنیتی Security Vulnerability

• زنجیره کشتار سایبری Cyber Kill Chain

• حملات برنامه - 10 برتر OWASP Application Attacks - OWASP Top 10

• CWE CWE

• کنترل های امنیتی Security Controls

• دفاع در عمق Defense in Depth

• مدیریت ریسک Risk Management

• شناسایی ریسک Risk Identification

• تجزیه و تحلیل ریسک و شناسایی Risk Analysis and Identification

• ارزیابی ریسک و پاسخ Risk Evaluation and Response

• سیاست ها Policies

• استانداردها Standards

• رویه ها و دستورالعمل ها Procedures and Guidelines

• چارچوب ها و استانداردهای امنیتی Security Frameworks and Standards

• ارزیابی بلوغ Maturity Assessment

دامنه 2 - الزامات نرم افزار امن Domain 2 - Secure Software Requirements

• الزامات کاربردی و غیر کاربردی نرم افزار Software Functional and Non-Functional Requirements

• استفاده از مورد و مورد سوء استفاده Use Case & Abuse Case

• نمودار جریان داده Data Flow Diagram

• الزامات عمومی امنیت نرم افزار Software Security General Requirements

• الزامات محرمانه بودن Confidentiality Requirements

• الزامات صداقت Integrity Requirements

• الزامات در دسترس بودن Availability Requirements

• ماتریس ردیابی الزامات امنیتی Security Requirements Traceability Matrix

• مدل سازی تهدید Threat Modeling

• رمزنگاری Cryptography

• FIPS 140-3 FIPS 140-3

• امضای دیجیتال Digital Signature

• PKI PKI

• هش کردن Hashing

• OWASP 10 WEB OWASP 10 WEB

• CWE CWE

• ASVS ASVS

• HSM HSM

• TPM TPM

• گواهی دیجیتال Digital Certificate

• TCB TCB

• حمله به کانال جانبی Side Channel Attack

• 10 موبایل برتر OWASP OWASP Top 10 Mobile

• OWASP MASVS & MSTG OWASP MASVS & MSTG

• OWASP 10 خطر امنیتی API برتر – 2023 OWASP Top 10 API Security Risks – 2023

• ESAPI (کتابخانه کنترل OWASP) - Enterprise Security API ESAPI (OWASP Control Library) - Enterprise Security API

• ماتریس RACI RACI Matrix

دامنه 3 - معماری و طراحی نرم افزار امن Domain 3 - Secure Software Architecture and Design

• شیوه های کدنویسی ایمن Secure Coding Practices

• مفاهیم کلیدی طراحی امنیت Key Security Design Concepts

• Fail Close و Fail Open Fail Close and Fail Open

• صفر اعتماد، اعتماد اما تایید Zero Trust, Trust But Verify

• رایانش ابری Cloud Computing

• هوش مصنوعی و ML AI & ML

• API API

• مجازی سازی Virtualization

• ظروف Containers

• SOA و ESB SOA & ESB

دامنه 4 - پیاده سازی امن نرم افزار Domain 4 - Secure Software Implementation

• اصول کدنویسی ایمن Secure Coding Principals

• امنیت پایگاه داده Database Security

• انعطاف پذیری پایگاه داده Database Resillency

• حفاظت از داده ها Data Protection

• چرخه حیات داده Data Lifecycle

• طبقه بندی داده ها Data Classification

• تخریب داده ها Data Destruction

دامنه 5 - تست نرم افزار امن Domain 5 - Secure Software Testing

• هدف از تست Purpose of Testing

• مالک، متولی و کاربر Owner, Custodian and User

• تست نرم افزار Software Testing

• تست امنیتی - PT Security Testing - PT

• SAST SAST

• IAST، DAST، SCA، RASP IAST, DAST, SCA, RASP

• QAT QAT

• تست پذیرش کاربر User Acceptance Testing

دامنه 6 - مدیریت چرخه عمر نرم افزار امن Domain 6 - Secure Software Lifecycle Management

• مدیریت انتشار Release Management

• مدیریت تغییر Change Management

• مدیریت پیکربندی Configuration Management

• ایمن کردن کد منبع Securing Source Code

• VCS VCS

• مدیریت پچ و مدیریت آسیب پذیری Patch Management and Vulnerability Management

• صدور گواهینامه و اعتبار Certification and Accreditation

دامنه 7 - استقرار، عملیات و نگهداری نرم افزار ایمن Domain 7 - Secure Software Deployment, Operations and Maintenance

• DevOPS DevOPS

• DevSecOPS DevSecOPS

• IaC IaC

• معماری بومی ابر Cloud Native Architecture

• KPI ها و معیارها KPIs and Metrics

• مدیریت حوادث Incident Management

• IRP IRP

• پیاده سازی نرم افزار Software Implementation

• تعمیر و نگهداری نرم افزار Software Maintenance

دامنه 8 - زنجیره تامین نرم افزار امن Domain 8 - Secure Software Supply Chain

• چرخه حیات کسب Acquisition Lifecycle

• CAPEX در مقابل OPEX، ROI در مقابل ROSI CAPEX vs OPEX, ROI vs ROSI

• مدیریت فروشنده Vendor Management

• SSAE SSAE

• سیستم کنترل سازمان - گزارش حسابرسی SOC System Organization Controls - SOC Audit Report

• مدیریت ریسک زنجیره تامین Supply chain Risk Management

• مالکیت فکری Intellectual Property

پایان دوره Course Finish

• سخنرانی پاداش Bonus Lecture