整理了供应链安全相关的内容,涵盖了普及应用安全、信息安全意识的内容,这些内容可以面向企业全部员工进行讲解。后面包括了面向开发人员、测试人员、安全人员的内容,包括应用安全开发、供应链安全。面向架构人员的架构安全内容,后面又包括了威胁建模方法及流程。面向开发人员的安全设计、代码检测/审计、编码规范、运行时缺陷和安全漏洞等讲解。Java典型安全漏洞和应用业务逻辑漏洞实例讲解,后面包括了开源治理内容等等。
编号 |
课程名称 |
主要内容 |
面向对象 |
时长(50分钟/课时) |
1 |
应用安全意识培训 |
普及应用安全知识,包括安全、bug、缺陷、漏洞的理解。微软的SRIDE威胁模型介绍、安全设计原则、CWE、OWASP的认识等 |
企业全员,侧重开发相关人员 |
4 |
2 |
信息安全意识培训 |
普及信息安全知识、包括安全因素、供应链安全多个案例介绍、黑产产业链、员工应该知道并掌握的安全知识 |
企业全员 |
4 |
3 |
应用安全开发培训 |
开发安全介绍、安全开发的必要性、安全设计的重要性、开发安全体系和模型、微软的SDL级威胁建模、BSIMM、SMM等、SDL案例等 |
开发人员、测试人员、安全人员等 |
4 |
4 |
软件供应链安全培训 |
供应链攻击事件回顾、供应链攻击类型、供应链安全面临的挑战、供应链安全政策与法规、安全供应链安全治理痛点、供应链安全治理框架和体系、供应链安全相关的模型、认识SBOM、开源治理、DevSecOps中的供应链安全等、云原生安全等。 |
开发人员、测试人员、安全人员等 |
4 |
5 |
威胁建模方法及流程培训 |
威胁建模简介、介绍威胁建模方法和流程,风险评价模型DREAD、威胁分类模型CAPEC、威胁建模案例分享、借助自动化威胁建模工具最佳实践等 |
开发负责人、安全负责人、架构负责人等 |
6 |
6 |
安全设计培训 |
包括安全编码、输入安全验证、输出安全编码、访问控制要求、身份验证安全、数据安全、日志和错误处理安全、框架安全、开源组件安全等 |
开发人员、测试人员、安全人员等 |
6 |
7 |
安全开发培训 |
安全开发的理解、DevsecOps体系平台支撑、典型安全漏洞、开源组件及工具 |
开发人员、测试人员、安全人员等 |
4 |
8 |
常见Java编码规范培训 |
介绍17条最常见的java编码规范中17条规则,另外介绍如何制定编码以及编码规范如何落地,做到与规范符合性 |
开发人员 |
4 |
9 |
C/C++常见运行时缺陷培训 |
介绍5种常见的运行时缺陷,包括缓冲区溢出、缓冲区溢出攻击、格式化字符串攻击、整数溢出竞争条件 |
开发人员、代码审计人员、安全测试人员等 |
4 |
10 |
Java常见安全漏洞培训(详细) |
包括命令行注入、SQL注入、XSS、路径遍历、失效的身份验证、弱密码、弱Hash、弱随机值、Cookie安全、不安全的序列化、XXE、HTTP响应拆分、输入验证、XPATH注入、URL重定向、CSRF、SSI注入、OGNL注入、XSLT代码执行、表达式注入、任意文件上传、任意文件读取、任意文件写入、文件包含、SSRF服务端请求伪造等 |
开发人员、测试人员、安全人员等 |
18 |
11 |
应用系统业务逻辑漏洞培训 |
包括短信轰炸、验证码失效、登录撞库、静态密码重放、批量注册、访问控制,包括未授权访问、水平越权和垂直越权、支付漏洞、密码找回漏洞、数据安全等 |
开发人员、测试人员、安全人员等 |
12 |
12 |
软件供应链安全培训 |
先介绍一些供应链安全事件、供应链安全解决方案、软件引入安全审查、DevSecOps平台介绍 |
开发、测试、安全 |
4 |
13 |
开源治理培训 |
介绍开源治理的背景、开源治理方案、项目实践分享、同业参考等 |
开发、测试、安全、架构 |
4 |
14 |
开源许可证培训 |
介绍许可证定义、分类、许可证构成解读、许可证兼容性、许可证冲突规避方法等 |
开发、测试、安全、架构 |
4 |
15 |
云原生场景的DevSecOps实践 |
介绍云原生的背景、云原生安全、安全解决方案等 |
开发、测试、安全、架构 |
2 |
课件截图:
文章来源:https://www.toymoban.com/news/detail-788857.html
(结束)文章来源地址https://www.toymoban.com/news/detail-788857.html
到了这里,关于供应链安全应该掌握哪些呢的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!