在软件开发生命周期(SDLC)中构建安全性。
课程学习内容
- 学习如何成为应用安全领域的佼佼者
- 掌握OWASP Top 10核心漏洞及针对性防御方法
- 运用威胁建模方法,识别开发功能中的潜在威胁并制定缓解措施
- 掌握应用程序威胁模型分析的实操方法
- 学会对应用程序执行专业漏洞扫描
- 采用标准开放流程完成安全漏洞评估
- 掌握代码中常见安全问题的修复技巧
- 明确应用安全在整体网络安全计划中的核心定位
- 将安全考量全面融入软件开发全生命周期
课程学习要求
- 具备基础编程能力
- 了解IT系统及软件在运行环境中的部署流程
课程详细描述
如今每家企业都离不开软件支撑,应用安全的保障难度持续攀升。在网络威胁不断演变、日趋复杂的当下,从源头筑牢应用程序安全防线至关重要。本课程系统化、全方位助力软件开发人员与安全专业人员掌握核心知识和实用工具,实现在整个软件开发生命周期(SDLC)中对应用程序的有效防护。
课程开篇讲解纵深防御等基础安全概念,结合打印噩梦漏洞等真实案例,拆解漏洞、利用、载荷等攻击核心要素,指导学员搭建多层安全防护体系。同时深入解读机密性、完整性、可用性(CIA)三大安全原则,夯实身份验证、授权、会话管理的关键实操能力。
课程聚焦现代应用安全核心痛点,重点讲解API安全,解析API在Web应用中的作用、风险与防护策略;深度覆盖OWASP Top 10行业标准,明确Web应用主流安全风险;引入NIST、FAIR、OWASP、CIS RAM等风险评级方法,教授安全控制措施的落地实施技巧。
课程涵盖软件供应链安全高级内容,保障软件从开发到部署全流程完整性;系统讲解漏洞管理全流程,包括漏洞识别、评估、修复与报告,助力学员维护IT系统持续安全。
课程全面解析加密技术,包含哈希、对称加密、非对称加密、数字证书、公钥基础设施(PKI),同时详解JSON Web令牌(JWT)、JSON Web加密(JWE)、JSON Web签名(JWS),实现敏感数据保护与安全通信。
课程深度讲解DevSecOps体系,强调安全与DevOps流程的深度融合,重点教学CI/CD管道安全防护,防范未授权访问、代码篡改等威胁;手把手教学SAST、DAST、IAST、RASP、WAF等主流安全测试工具的使用。
课程新增应用安全态势管理(ASPM)新兴领域内容,通过整合安全实践与工具,打造软件应用全生命周期安全管控能力,实现漏洞、配置缺陷、安全策略合规性的统一管理。
课程搭配实战演示与动手操作环节,通过攻击树分析、威胁建模、渗透测试、CodeQL安全编码等实操,让学员将理论知识转化为实战能力,积累安全威胁识别、缓解与应对经验。
本课程致力于让学员精通应用安全核心知识,掌握安全实践与软件开发生命周期融合的方法,打造功能完善、抗威胁能力强的高安全应用。无论你是资深安全专家,还是应用安全入门者,都能从中获取构建和维护安全可靠软件的核心知识与技能。
适合学习人群
- 关注软件开发、致力于开发高安全性软件的从业者
- 专业安全技术人员
- 软件与安全工程领域管理人员
- 网络安全专业技术专家