时间: 2012年10月31日-11月2日 (峰会前三天)
内容: 安全开发生命周期(SDL)培训
人数: 30人
培训地点: 深圳
主讲人: 包老师
培训方式: 3天封闭式强化培训
报名方式: Ivy 0755-88877909 ivy#owasp.org.cn
第一期: 2012年10月31-11月2日 深圳
课程背景:
在过去的十几年里,随着信息技术的高速发展和企业信息化步伐的深入,企业在利用信息技 术实现其商业目标的同时也变得越来越依赖于信息技术。以银行业为例,为了降低运营成本,提高用户满意度,今天的银行普遍利用信息技术支持的电话银行、 ATM及网络银行系统为客户提供个性化、差异化的服务。另外,银行也在不断利用信息技术收集和分析大量的与客户有关的数据和信息,为新产品开发提供决策支 持,从而达到提高盈利水平的目标。在今天的企业信息环境里,如何保证信息系统以及信息本身的安全性已然变得至关重要了。事实上,在今天具有一定规模的企业 的IT环境里往往存在着少则几百个多则上千个大大小小的业务应用(Line of Business Applications),小到支持几个人的小规模团队的协同应用,大到贯穿于一个企业生产、经营、管理全过程的企业级应用。如何降低信息技术给企业带 来的各种安全风险呢?无疑已成为当今所有企业面临的新挑战。
企业信息安全的涵盖面非常广,涉及到人员、流程和技术等诸多方面的因素。正因为如此, 一方面信息安全越来越受到广泛的关注,并且企业在信息安全方面的投入不断增加,而另一方面各种给企业造成负面影响的安全事件却层出不穷。单纯的技术手段往 往无法帮助企业彻底消除存在的诸多安全问题,只有建立起一整套安全策略和流程,通过合理地资源配置并且充分利用各种技术和非技术手段,企业才有可能更加有 效地管理各类安全风险。
信息安全包括安全体系的构建和管理、物理和环境安全、数据中心和网络安全、系统开发和 维护安全等多方面内容。今天我们在这里讨论的话题将主要围绕安全系统开发,即企业在业务应用的开发过程中应该如何应对各种可能对应用造成影响的安全性问 题。微软看来,保证和提高应用安全性的最佳时机是在应用的开发阶段。微软信息安全部门的ACE团队通过多年来在应用安全领域的实践经验,创建了一整套安全 开发流程,即信息技术安全开发生命周期流程(Secure Development Lifecycle for Information Technology,缩写为SDL-IT)。该流程包含有一系列的最佳实践和工具,多年以来不仅被用于微软内部业务应用的开发过程中,而且也被成功地应 用在许多微软客户的开发项目中。
课程介绍:
本课程将介绍SDL,由微软创建的软件安全保证过程。自2004年以来作为微软全公司 范围内的强制性政策,SDL在将安全和隐私保护嵌入到微软的软件和文化方面发挥了重要的作用。本课程不仅将介绍SDL流程本身,同时还将介绍用于安全设计 和实施以及进行安全测试所涉及的工具和技术。虽然很多在本课程过程中讨论的安全技术(比如,威胁建模、静态和动态代码分析、模糊测试)的单独使用会对软件 安全带来一定程度的帮助,以微软的实践经验表明,如果能够将这些实践和技术一致和全面地应用到整个软件开发的过程中,将会为所开发的软件带来更大程度的安 全保证。
• Microsoft Security Development Lifecycle (SDL) overview
• Module 1: Secure Design
– Attack Surface Reduction
– Threat Modeling
• Module 2: Secure Development
– Buffer overflows
– Integer arithmetic errors
– Canonicalization issues
– Managed Code: Cross-site scripting (XSS)
– Managed Code: SQL injection
– Cryptography
– Code Review
• Module 3: Security Testing
– Fuzz Testing
课程收益:
通过本课程学员将了解如何建立一个面向安全的软件开发流程以及安全开发流程应包括哪些具体工作。包括:
1、安全设计、开发和测试的最佳实践,
2、如何利用最佳实践避免常见的软件安全漏洞的出现
3、安全威胁建模的流程、方法和工具,并且通过实际的动手实践,帮助学员了解安全威胁建模的好处。
4、实例剖析《SDL 如何帮助提高 Office 2010 中的安全性》
讲师介绍:
加拿大滑铁卢大学信息管理系统硕士,超过10年在北美和中国高科技行业工作经验,主要从事软件开发、工程和技术管理方面的工作,曾服务于NCR、Cisco和Nokia等公司
现任国际知名企业信息安全部门评估、咨询与工程(ACE)团队高级安全架构师。长期负 责公司信息安全的评估、整治、风险管理、政策和法规遵从等工作。同时也是国际应用安全开发生命周期的领航者,在应用开发的过程中提供整体、综合的安全解决 方案。主要帮助内部工程团队和企业客户,根据SDL方法,设计、开发和部署企业级的应用程序,以确保其安全性。