专题一:软件安全开发基础
专题二:安全开发生命周期(SDL)
专题三:安全需求分析与设计
专题四:安全编码实践(通用)
专题五:Web应用安全开发
专题六:移动应用安全开发
专题七:安全测试与漏洞挖掘
专题八:代码审计与静态分析
专题九:软件供应链安全
专题十:DevSecOps实践
专题十一:安全响应与漏洞管理
专题十二:合规与安全开发度量
培训对象:
软件开发人员、测试人员
项目经理、产品经理
信息安全工程师
培训目标:
掌握软件安全的基本概念、常见威胁与攻击方式,理解安全开发的重要性和基本原则,树立“安全左移”的思维,为后续深入学习奠定基础。
培训内容:
软件安全定义与内涵:机密性、完整性、可用性在软件中的体现
常见软件安全威胁:OWASP Top 10、CWE Top 25、恶意代码
攻击方式剖析:SQL注入、XSS、CSRF、文件上传漏洞等
安全开发的价值:降低修复成本、保护企业声誉、满足合规要求
安全左移理念:在需求、设计阶段引入安全,而非仅靠测试
软件安全与隐私保护的关系
安全开发基本原则:最小权限、纵深防御、默认安全、失败安全
常见安全标准与框架:ISO 27034、BSIMM、OpenSAMM
安全开发团队角色与职责:安全 champion、安全架构师、开发人员
软件安全成熟度模型:从混乱到优化的发展路径
典型安全漏洞案例分析:Equifax、Heartbleed、Log4j等
安全开发学习路径与资源推荐
培训对象:
安全负责人、项目经理
软件过程改进人员
开发团队骨干
培训目标:
掌握安全开发生命周期的核心阶段与关键活动,能够将安全融入现有的开发流程(瀑布/敏捷/DevOps),建立规范化的安全开发过程。
培训内容:
SDL发展历程:微软SDL、OWASP SAMM、国内标准
培训阶段:安全意识培训、角色定制化培训
需求阶段:安全需求分析、隐私影响评估
设计阶段:威胁建模、安全架构设计、攻击面分析
开发阶段:编码规范、安全函数库、静态分析
测试阶段:动态分析、模糊测试、渗透测试
发布阶段:最终安全评审、应急响应计划
响应阶段:漏洞响应、安全更新、事后复盘
敏捷开发中的SDL适配:轻量级SDL、安全冲刺
DevOps中的SDL适配:自动化安全检查、安全即代码
SDL度量指标:各阶段活动完成率、漏洞密度、修复时长
SDL落地案例:某企业SDL实施经验与成效
培训对象:
需求分析师、产品经理
软件架构师、设计师
安全评估人员
培训目标:
掌握安全需求的获取、分析与编写方法,能够进行威胁建模与安全架构设计,从源头保障软件的安全性。
培训内容:
安全需求分类:功能性安全需求、非功能性安全需求
安全需求来源:法律法规、行业标准、组织策略、风险评估
安全需求编写规范:清晰、可验证、可测试
威胁建模概述:STRIDE模型、攻击树、数据流图
威胁建模步骤:识别资产、创建架构图、识别威胁、消减措施
工具实践:Microsoft Threat Modeling Tool、OWASP Threat Dragon
攻击面分析与最小化设计
安全架构原则:纵深防御、最小权限、职责分离
常见安全设计模式:认证中心、访问控制、安全上下文
隐私设计(Privacy by Design):数据最小化、透明度、用户控制
安全需求跟踪与验证:需求追踪矩阵
综合实战:对某系统进行威胁建模并输出安全需求
培训对象:
软件开发工程师
代码审查人员
质量保证人员
培训目标:
掌握常见编程语言(Java/Python/C++/JavaScript)的安全编码规范与最佳实践,能够避免常见编码漏洞,编写安全可靠的代码。
培训内容:
输入验证:数据类型、格式、长度、范围、白名单验证
输出编码:HTML编码、URL编码、JavaScript编码
身份认证:密码存储(加盐哈希)、多因素认证、会话管理
访问控制:垂直权限、水平权限、基于角色的访问控制
加密实践:使用成熟库、密钥管理、避免自定义加密
错误处理与日志:避免信息泄露、安全日志记录
文件操作:路径遍历防范、文件上传安全、临时文件安全
数据库安全:参数化查询、ORM安全、连接字符串保护
内存安全:缓冲区溢出、整数溢出、释放后使用(C/C++)
并发安全:线程安全、死锁预防、资源竞争
第三方库安全:版本管理、漏洞检查、依赖更新
安全编码检查清单与自动化工具集成
培训对象:
Web前端/后端开发人员
Web应用架构师
安全测试人员
培训目标:
掌握Web应用特有的安全威胁与防护技术,能够开发抵御OWASP Top 10漏洞的Web应用,保障Web业务安全。
培训内容:
OWASP Top 10详解:最新版漏洞分析与防护
SQL注入防护:参数化查询、ORM过滤、存储过程
跨站脚本(XSS)防护:输出编码、CSP、HttpOnly
跨站请求伪造(CSRF)防护:Token验证、SameSite Cookie
认证与会话管理:会话固定保护、超时机制、安全令牌
访问控制漏洞:水平越权、垂直越权防护策略
敏感数据泄露:传输加密(HTTPS)、存储加密、缓存控制
文件上传漏洞:类型验证、内容检测、隔离存储
不安全反序列化:避免原生反序列化、使用安全替代
日志与监控:安全事件日志、异常行为检测
Web安全头配置:HSTS、X-Frame-Options、X-Content-Type-Options
综合实战:修复一个包含多个漏洞的Web应用
培训对象:
Android/iOS开发工程师
移动应用架构师
移动安全测试人员
培训目标:
掌握移动应用(Android/iOS)特有的安全风险与防护技术,能够进行安全配置、数据存储保护、通信安全、代码混淆等。
培训内容:
移动应用安全威胁:逆向工程、数据泄露、恶意重打包
Android安全机制:权限模型、应用沙箱、签名机制
iOS安全机制:应用沙盒、钥匙串、代码签名、越狱检测
本地数据存储安全:SharedPreferences、SQLite加密、Keychain
组件暴露风险:Activity、Service、Broadcast Receiver、Content Provider
移动网络通信安全:HTTPS、证书固定、SSL Pinning
身份认证与会话管理:生物识别、OAuth2、JWT存储
代码混淆与加固:ProGuard、DexGuard、混淆策略
反调试与反篡改:检测调试器、签名校验、完整性检查
WebView安全:JavaScript接口、URL过滤、混合应用风险
移动应用发布安全:应用签名、渠道监测、盗版检测
综合实战:Android应用安全加固与漏洞检测
培训对象:
测试工程师
安全测试人员
开发人员(希望自测)
培训目标:
掌握安全测试的方法与技术,能够进行漏洞扫描、模糊测试、渗透测试,识别软件中的安全缺陷,并验证修复效果。
培训内容:
安全测试类型:静态测试、动态测试、交互式测试
漏洞扫描工具:SAST工具(Fortify、Checkmarx)、DAST工具(AppScan、AWVS)
模糊测试(Fuzzing)原理:生成式、变异式、协议Fuzzing
Web应用渗透测试:信息收集、漏洞验证、权限提升
API安全测试:认证测试、授权测试、参数篡改
移动应用安全测试:drozer、MobSF、Frida
网络层测试:抓包分析(Burp Suite、Wireshark)
认证与会话测试:会话固定、令牌预测、弱口令
访问控制测试:垂直/水平越权尝试
业务逻辑漏洞测试:绕过流程、并发竞争、限额绕过
测试报告编写:漏洞描述、复现步骤、风险评级、修复建议
综合实战:对Web应用进行完整渗透测试并输出报告
培训对象:
代码审计人员
安全开发工程师
质量保证人员
培训目标:
掌握代码审计的方法与技巧,能够使用静态分析工具进行自动化扫描,并进行人工审核,发现代码层面的安全缺陷。
培训内容:
代码审计概述:目标、范围、流程、方法(黑盒/白盒)
静态分析工具原理:词法分析、语法分析、数据流分析、控制流分析
常用SAST工具配置与使用:SonarQube、Fortify、Checkmarx
审计语言特性:Java、Python、JavaScript常见漏洞模式
数据流分析:污点分析、敏感函数追踪
配置审计:框架配置、权限配置、安全策略配置
第三方依赖审计:SCA工具(OWASP Dependency Check、Snyk)
人工审计重点:高危函数调用、加密实现、随机数安全
审计报告解读:误报处理、漏洞验证、风险定级
审计流程集成:在CI/CD中集成静态分析
代码审计规范与检查清单
综合实战:对开源项目进行代码审计并提交问题
培训对象:
开发人员、架构师
采购人员、供应商管理人员
安全合规人员
培训目标:
理解软件供应链安全的风险与挑战,掌握第三方组件管理、开源合规、供应商安全评估的方法,保障软件来源安全。
培训内容:
软件供应链安全概念:开源软件、商业组件、开发工具
供应链攻击案例:SolarWinds、Log4j、Codecov
第三方组件管理:组件选型、版本锁定、漏洞监控
开源许可证合规:GPL、MIT、Apache等合规要求
软件物料清单(SBOM):生成标准、使用场景、共享机制
漏洞库与预警:CVE、NVD、CNNVD、厂商安全公告
依赖项扫描工具:OWASP Dependency Check、Snyk、Black Duck
内部源管理:私有仓库、代理缓存、镜像安全
供应商安全评估:问卷、审计、合同条款、持续监控
开发环境供应链安全:IDE插件、基础镜像、工具链
软件交付安全:签名校验、完整性验证
综合实战:构建企业SBOM管理流程与漏洞响应机制
培训对象:
DevOps工程师
安全自动化人员
开发运维一体化实践者
培训目标:
掌握DevSecOps理念与实践方法,能够将安全工具和流程无缝集成到CI/CD流水线中,实现安全自动化和“安全即代码”。
培训内容:
DevSecOps核心理念:安全左移、自动化、持续监控
CI/CD流水线安全集成点:代码提交、构建、测试、部署
安全工具链集成:SAST/DAST/SCA在Jenkins/GitLab CI中的集成
基础设施即代码(IaC)安全:Terraform、CloudFormation安全扫描
容器镜像安全:漏洞扫描、镜像签名、运行时防护
Kubernetes安全配置:Pod安全策略、网络策略、RBAC
密钥与凭证管理:Hashicorp Vault、K8s Secrets加密
安全自动化测试:单元测试、集成测试中的安全校验
安全门禁(Quality Gates):漏洞阈值、阻断策略
DevSecOps度量:漏洞发现时间、修复时间、阻断率
文化与组织:开发、安全、运维协同模式
综合实战:在Jenkins pipeline中集成SAST/SCA并设置质量门禁
培训对象:
安全运维人员
开发团队负责人
应急响应小组成员
培训目标:
掌握软件安全漏洞的响应流程与管理方法,能够建立漏洞接收、评估、修复、发布机制,实现漏洞的全生命周期闭环管理。
培训内容:
漏洞管理概述:漏洞生命周期、漏洞管理框架
漏洞来源:内部发现、外部报告、众测、漏洞平台
漏洞接收渠道:安全邮箱、漏洞平台、SRC(安全响应中心)
漏洞评估:危害定级、影响范围、利用难度、优先级
漏洞修复流程:指派、开发修复、测试验证、上线
漏洞披露策略:协调披露、完全披露、不披露
安全更新发布机制:补丁发布、版本升级、客户通知
应急响应流程:发现、分析、遏制、根除、恢复、复盘
漏洞库维护:内部漏洞库、CVE编号申请
漏洞奖励计划(Bug Bounty):设计、运营、法律考量
漏洞度量指标:MTTR(平均修复时间)、漏洞密度
综合实战:模拟漏洞应急响应全过程演练
培训对象:
安全合规人员
开发管理者
质量度量人员
培训目标:
掌握软件开发相关的安全合规要求(等保、GDPR、行业标准),能够建立安全开发度量指标体系,持续评估和改进安全开发成效。
培训内容:
软件安全相关法律法规:网络安全法、数据安全法、个人信息保护法
等级保护2.0对软件开发的要求
行业合规标准:金融、医疗、支付卡行业(PCI-DSS)
隐私合规对开发的要求:隐私设计、数据保护影响评估
安全开发度量体系:过程度量(活动完成率)、结果度量(漏洞密度)
漏洞密度度量:千行代码漏洞数、按严重性分布
修复效率度量:平均修复时间、修复率、逾期率
安全测试覆盖率:代码覆盖率、功能覆盖率
安全债务度量:累积未修复漏洞、风险敞口
度量可视化:仪表盘设计、趋势分析
持续改进机制:PDCA、目标设定、改进计划
综合实战:设计一个安全开发度量仪表盘并分析改进点
