专题一:软件安全工程基础
专题二:安全需求工程
专题三:安全架构与设计
专题四:安全编码实践
专题五:软件漏洞分析与利用
专题六:安全测试与漏洞挖掘
专题七:软件供应链安全
专题八:DevSecOps与自动化安全
专题九:安全运维与事件响应
专题十:隐私保护与合规
专题十一:新兴技术安全(AI/物联网/云)
专题十二:综合实践与安全成熟度
培训对象:
新入职的安全工程师、开发人员
项目经理、质量管理人员
需要建立安全意识的全体研发人员
培训目标:
理解软件安全的基本概念、核心原则与安全工程框架,掌握安全在软件开发生命周期中的定位,树立"安全左移"的思维。
培训内容:
软件安全的定义与内涵:机密性、完整性、可用性在软件中的体现
安全工程与软件工程的关系:从传统安全到内生安全
常见软件安全威胁:OWASP Top 10、CWE Top 25、恶意代码类型
安全工程框架:NIST SSDF、BSIMM、OpenSAMM
安全左移理念:在需求、设计阶段引入安全,而非仅靠测试
安全成熟度模型:从混乱到优化的演进路径
安全文化与团队建设:安全 champion、红蓝紫团队
安全经济学:漏洞修复成本曲线、安全投入产出比
安全法规与标准基础:网络安全法、数据安全法、ISO 27034
典型安全事件案例分析:Equifax、SolarWinds、Log4j
安全工程师能力模型:技术深度、威胁思维、沟通协作
综合研讨:企业软件安全现状评估与改进方向
培训对象:
需求分析师、产品经理
安全架构师、系统分析师
需要定义安全需求的开发人员
培训目标:
掌握安全需求的获取、分析与编写方法,能够运用威胁建模识别安全需求,在项目早期建立安全基线。
培训内容:
安全需求分类:功能性安全需求、非功能性安全需求
安全需求来源:法律法规、行业标准、组织策略、风险评估
SQUARE流程模型:安全需求获取的九步法
威胁建模基础:STRIDE模型(欺骗、篡改、否认、信息泄露、拒绝服务、权限提升)
威胁建模工具实践:OWASP Threat Dragon、Microsoft Threat Modeling Tool
攻击树与数据流图:识别攻击路径与暴露面
Evil User Stories:从攻击者视角定义安全需求
滥用用例(Misuse Cases):识别系统如何被滥用
安全需求优先级划分:基于风险的安全需求排序
安全需求文档化:需求条目、验收标准、测试用例关联
隐私需求识别:数据最小化、知情同意、跨境传输
综合实战:对某Web应用进行威胁建模并输出安全需求
培训对象:
软件架构师、安全架构师
系统设计师、技术负责人
需要设计安全系统的开发人员
培训目标:
掌握安全架构设计的原则与方法,能够运用安全设计模式、攻击面分析、纵深防御等策略,设计抗攻击的软件系统。
培训内容:
安全架构设计原则:纵深防御、最小权限、默认安全、失败安全
攻击面分析与最小化:减少暴露接口、关闭非必要服务
安全设计模式:认证模式、授权模式、安全上下文、安全会话
身份认证架构:多因素认证、单点登录、OAuth2/OIDC
访问控制模型:RBAC(基于角色的访问控制)、ABAC(基于属性的访问控制)
密码学应用架构:加密策略、密钥管理、硬件安全模块
安全通信架构:TLS/mTLS、API安全、消息加密
微服务安全设计:服务间认证、API网关、零信任架构
数据安全架构:数据分类、加密存储、脱敏策略
架构风险分析(ARA):识别架构层面的安全弱点
安全架构评审:评审检查表、常见架构漏洞
综合实战:为微服务系统设计完整的安全架构
培训对象:
软件开发工程师
代码审查人员
需要编写安全代码的测试人员
培训目标:
掌握常见编程语言的安全编码规范与最佳实践,能够避免OWASP Top 10等编码漏洞,编写安全可靠的代码。
培训内容:
输入验证与输出编码:白名单验证、数据净化、编码输出
SQL注入防护:参数化查询、ORM安全、存储过程
跨站脚本(XSS)防护:上下文相关编码、CSP策略、HttpOnly
跨站请求伪造(CSRF)防护:Anti-CSRF令牌、SameSite Cookie
认证与会话管理:安全密码存储、会话固定保护、超时机制
访问控制实现:垂直权限、水平权限的编码控制
文件操作安全:路径遍历防护、文件上传验证、临时文件安全
内存安全:缓冲区溢出防护、整数溢出检查(C/C++)
并发与多线程安全:线程安全、死锁预防、资源竞争
错误处理与日志:避免信息泄露、安全日志记录规范
加密实现最佳实践:使用成熟库、避免自定义加密
综合实战:修复包含多个漏洞的Web应用代码
培训对象:
安全测试人员、渗透测试工程师
开发人员需要理解漏洞原理
安全运维人员
培训目标:
掌握常见软件漏洞的成因、检测方法与利用技术,能够从攻击者视角理解漏洞,提升漏洞修复的有效性。
培训内容:
漏洞分类体系:CWE、OWASP分类、CVSS评分标准
缓冲区溢出原理:栈溢出、堆溢出、格式化字符串漏洞
整数溢出与符号问题:整数溢出、有符号/无符号混淆
Web漏洞深入:SQL注入变种、XSS变种、SSRF、XXE
反序列化漏洞:Java/PHP/Python反序列化原理与利用
竞争条件漏洞:TOCTOU(检查时间与使用时间)问题
权限提升漏洞:本地提权、内核漏洞利用
漏洞利用开发基础:Shellcode编写、ROP链构建
漏洞利用工具:Metasploit框架、Exploit-DB使用
漏洞分析与调试:GDB、WinDbg、OllyDbg
漏洞缓解技术:ASLR、DEP、栈保护、CFG
综合实战:复现已知漏洞并编写POC(概念验证)代码
培训对象:
安全测试工程师、渗透测试人员
QA工程师需要安全测试技能
开发人员希望进行自测
培训目标:
掌握安全测试的方法与技术,能够运用SAST、DAST、IAST、模糊测试等手段发现软件安全缺陷,并验证修复效果。
培训内容:
安全测试类型:静态测试(SAST)、动态测试(DAST)、交互式测试(IAST)
静态应用安全测试(SAST)工具:SonarQube、Fortify、Checkmarx
动态应用安全测试(DAST)工具:OWASP ZAP、Burp Suite、AppScan
软件成分分析(SCA):OWASP Dependency Check、Snyk、Black Duck
模糊测试(Fuzzing)技术:生成式、变异式、协议Fuzzing
渗透测试流程:信息收集、漏洞扫描、漏洞验证、权限提升
Web渗透测试实战:使用Burp Suite进行SQL注入、XSS测试
API安全测试:认证测试、授权测试、参数篡改、速率限制
移动应用安全测试:MobSF、Drozer、Frida基础
网络层测试:Nmap、Wireshark、TCPDump
测试报告编写:漏洞描述、复现步骤、风险评级、修复建议
综合实战:对Web应用进行完整安全测试并输出报告
培训对象:
开发人员、架构师
采购人员、供应商管理人员
安全合规人员
培训目标:
理解软件供应链安全的风险与挑战,掌握第三方组件管理、开源合规、SBOM、供应商评估的方法,保障软件来源安全。
培训内容:
软件供应链安全概念:开源软件、商业组件、开发工具、第三方服务
供应链攻击案例深度解析:SolarWinds、Codecov、Log4j
软件物料清单(SBOM)标准:SPDX、CycloneDX格式
SBOM生成与管理:自动化生成工具、SBOM仓库
开源许可证合规:GPL、MIT、Apache等合规要求
第三方组件漏洞管理:CVE监控、漏洞评估、修复跟踪
依赖项扫描工具集成:在CI/CD中集成SCA扫描
内部源管理:私有仓库安全、镜像代理、缓存策略
供应商安全评估:安全问卷、合同条款、持续监控
开发环境供应链安全:IDE插件、基础镜像、工具链
软件签名与完整性验证:代码签名、包完整性校验
综合实战:构建企业SBOM管理流程并设置质量门禁
培训对象:
DevOps工程师、平台工程师
安全自动化人员、开发人员
需要构建CI/CD安全流水线的技术人员
培训目标:
掌握DevSecOps理念与实践方法,能够将安全工具无缝集成到CI/CD流水线中,实现安全自动化、门禁控制和持续监控。
培训内容:
DevSecOps核心理念:安全左移、自动化、持续监控
CI/CD安全集成点:代码提交、构建、测试、部署各阶段
安全工具链集成:在Jenkins/GitLab CI中集成SAST/DAST/SCA
基础设施即代码(IaC)安全:Terraform、CloudFormation安全扫描
容器镜像安全:漏洞扫描(Trivy/Clair)、镜像签名(Cosign)
Kubernetes安全配置:Pod安全标准、网络策略、RBAC
密钥与凭证管理:HashiCorp Vault、K8s Secrets加密
自动化安全测试:在流水线中自动化执行安全测试
质量门禁(Quality Gates):漏洞阈值设置、阻断策略
安全即代码:将安全策略以代码形式管理
DevSecOps度量:漏洞发现时间、修复时间、阻断率
综合实战:在GitLab CI中集成SAST/SCA并设置质量门禁
培训对象:
安全运维工程师、SRE
事件响应团队成员
系统管理员
培训目标:
掌握软件运行环境的安全运维技能,能够建立安全监控体系,制定事件响应预案,快速处置安全事件,保障业务连续性。
培训内容:
安全运维体系:监控、告警、响应、审计、改进
安全监控数据源:系统日志、应用日志、网络流量、威胁情报
SIEM(安全信息与事件管理)平台:日志收集、关联分析、告警
入侵检测系统(IDS/IPS):Snort、Suricata规则配置
端点检测与响应(EDR):CrowdStrike、SentinelOne
事件响应流程:准备、检测、分析、遏制、根除、恢复、复盘
数字取证基础:内存取证(Volatility)、磁盘取证
恶意代码分析:静态分析、动态分析、沙箱技术
应急响应工具包:TheHive、Cortex、Velociraptor
漏洞披露与修复流程:CVE发布、补丁管理
业务连续性计划(BCP)与灾难恢复(DR)
综合实战:模拟勒索软件事件应急响应全过程
培训对象:
安全工程师、合规专员
产品经理、法务人员
需要处理个人数据的开发人员
培训目标:
掌握隐私保护法规要求与技术实现方法,能够进行隐私影响评估(PIA),实现数据最小化、知情同意、数据主体权利响应。
培训内容:
隐私保护法规框架:个人信息保护法、GDPR、CCPA核心要点
隐私设计(Privacy by Design):七大原则与实践
数据分类分级:个人敏感信息识别、数据分级标准
隐私影响评估(PIA):流程、方法、报告模板
告知同意机制:隐私政策编写、同意管理、撤回同意
数据主体权利响应:访问权、删除权、更正权、可携带权
数据最小化实现:收集范围限制、存储期限设置
数据脱敏与匿名化:静态脱敏、动态脱敏、匿名化技术
跨境数据传输合规:安全评估、标准合同、认证
隐私保护技术:差分隐私、联邦学习、可信执行环境
合规审计准备:文档梳理、过程记录、整改跟踪
综合实战:为某应用进行隐私影响评估并输出报告
培训对象:
前沿技术研发人员
安全架构师、技术负责人
需要应对新兴安全挑战的从业者
培训目标:
掌握人工智能、物联网、云计算等新兴技术领域的安全挑战与防护方法,能够应对新型攻击面,保障新兴技术的安全应用。
培训内容:
AI安全威胁概述:模型窃取、数据投毒、对抗性攻击
机器学习模型安全:训练数据安全、模型完整性、隐私泄露
对抗性攻击与防御:对抗样本生成、对抗训练、防御蒸馏
大语言模型(LLM)安全:提示注入、越狱攻击、内容安全
物联网(IoT)安全架构:感知层、网络层、应用层防护
物联网设备安全:固件安全、安全启动、硬件安全
云安全责任共担模型:IaaS/PaaS/SaaS的安全边界
云平台安全配置:安全组、IAM策略、云安全中心
容器安全:镜像扫描、运行时安全、K8s安全配置
无服务器(Serverless)安全:函数权限、事件源安全
区块链安全:智能合约漏洞、共识机制安全、私钥管理
综合实战:为AI模型应用设计安全防护方案
培训对象:
完成前序学习的各类人员
安全团队负责人、质量经理
准备推动安全工程实践的从业者
培训目标:
通过完整项目案例的综合实践,整合软件安全工程全流程技能,掌握安全成熟度评估方法,制定组织级安全改进路线图。
培训内容:
综合案例导入:某互联网业务系统安全工程实践
安全需求定义:威胁建模、安全需求文档化
安全架构设计:零信任架构、纵深防御设计
安全编码与审查:安全编码规范、代码审查实践
安全测试实施:SAST/DAST/SCA工具应用
CI/CD安全集成:安全门禁、自动化测试
漏洞管理与修复:漏洞跟踪、补丁发布
安全事件响应:模拟演练、复盘改进
安全成熟度评估:BSIMM/OpenSAMM评估方法
安全改进路线图:现状诊断、目标设定、行动计划
安全文化建设:培训、激励、度量、反馈
综合大作业:为企业设计完整的软件安全工程实施方案
