2022年CISE/CISO知識體系大綱：軟件安全開發(fā)

2022年CISE/CISO（注冊信息安全專業(yè)人員）考試內容以考試大綱為基礎，如有考生想要參加并獲得CISE/CISO認證，建議先了解考綱，2022年預計仍沿用2019年版本，小編特為大家整理了注冊信息安全專業(yè)人員知識體系大綱（CISE/CISO）每章內容供大家參考。以下是關于CISE/CISO的“軟件安全開發(fā)：計算環(huán)境安全”內容。

注冊信息安全專業(yè)人員知識體系大綱（CISE/CISO）

十、知識域：軟件安全開發(fā)

10.1  知識子域：軟件安全開發(fā)生命周期 10.1.1  軟件生命周期模型

了解軟件生命周期的概念及瀑布模型、迭代模型、增量模型、快速原型模型、 螺旋模型、凈室模型等典型軟件開發(fā)生命周期模型。

10.1.2 軟件危機與安全問題

了解三次軟件危機產生的原因、特點和解決方案；

了解軟件安全和軟件安全保障的基本概念。

10.1.3 軟件安全生命周期模型

了解 SDL 、CLASP 、CMMI、SAMM、BSIMM 等典型的軟件安全開發(fā)生命 周期模型。

10.2  知識子域：軟件安全需求及設計

10.2.1 威脅建模

理解威脅建模的作用及每個階段的工作內容；

掌握 STRIDE 模型用于進行威脅建模實踐。

10.2.2 軟件安全需求分析

理解軟件安全需求在軟件安全開發(fā)過程中的重要性；

理解安全需求分析的方法和過程。

10.2.3 軟件安全設計

理解軟件安全設計的重要性及內容和主要活動；

理解最小特權、權限分離等安全設計的重要原則；

理解攻擊面的概念并掌握降低攻擊面的方法。

10.3 知識子域：軟件安全實現

10.3.1  安全編碼原則

了解通用安全編程準則： 驗證輸入、避免緩沖區(qū)溢出、程序內部安全、安全 調用組件、程序編寫編譯等；

了解編碼時禁止使用的風險函數；

了解相關的安全編碼標準及建議；

理解常見的代碼安全問題及處置辦法。

10.3.2 代碼安全編譯

了解代碼編譯需要關注的安全因素。

10.3.3 代碼安全審核

理解代碼審查的目的；

了解常見源代碼靜態(tài)分析工具及方法。

10.4  知識子域：軟件安全測試

10.4.1  軟件測試

了解測試用例等軟件測試的基本概念；

了解常見的軟件測試方法及不同測試方法之間的區(qū)別和優(yōu)缺點。

10.4.2 軟件安全測試

了解軟件安全測試的基本概念；

理解模糊測試、滲透測試等軟件安全測試方法的的原理、相互的區(qū)別以及各 自的優(yōu)勢；

掌握安全測試的思路和方法。

10.5  知識子域：軟件安全交付

10.5.1  軟件供應鏈安全

了解軟件供應鏈安全的概念并理解軟件供應鏈安全措施。

10.5.2 軟件安全驗收

了解軟件安全驗收的重要性及需要考慮的內容。

10.5.3 軟件安全部署

了解軟件安全部署的重要性及軟件安全加固、軟件安全配置的概念。