本课程将介绍软件安全开发基础,助力打造抗攻击的加固型软件,让您在遇到漏洞被利用的問題时,学习如何降低损害、提升响应效率。本课程适用于开源及闭源软件开发场景,还包含安全使用与开发开源软件的专属实操技巧。OpenSSF是一个跨行业的协作组织,旨在通过建立更广泛的社区、有针对性的计划和最佳实践,聚集了领导者,以提高开源软件的安全性。感谢OpenSSF的协助,为本课程提供了关于安全使用的方法及开发开源软件和其他软件的具体技巧。
课程简介
本课程面向各类软件开发人员(包括开源和闭源软件)、DevOps 专业人士、软件工程师、Web 应用开发人员,以及所有希望学习安全软件开发的从业者;课程核心聚焦实操落地方法,即便在资源有限的情况下,也能通过这些方法提升信息安全水平。
当下的软件时刻面临网络攻击的威胁,但许多开发人员从未系统学习过有效的抗攻击方法。本课程将通过讲解安全软件开发的核心原理,针对性解决这一问题。课程开篇先阐释网络安全基础概念,比如风险管理的实际内涵;同时讲解如何将安全要求融入系统需求设计,以及梳理各类可纳入考量的潜在安全需求。课程第一部分的核心是安全化的软件设计方法,涵盖多种安全设计原则,助力开发者规避不合理的设计方案、践行科学的设计思路;还会讲解软件供应链的安全防护策略 —— 即如何更安全地选择和获取可复用软件(含开源软件),以此提升整体安全防护能力。
课程第二部分聚焦开发落地阶段的核心安全问题:包括输入验证(例如为何应采用白名单而非黑名单机制)、数据的安全处理、外部程序调用、输出信息传递及异常错误处理。这一部分将围绕开发人员的实操场景,讲解应对各类常见网络攻击的具体方法。
课程第三部分则讲解软件的安全验证方法,重点介绍各类静态与动态分析技术,以及这些技术的落地应用方式(如在持续集成流水线中部署实施);同时还会涉及一些专业进阶内容,比如威胁建模的开发基础,以及各类密码学技术的实际应用方法。
本课程将帮助软件开发人员打造并维护高抗攻击能力的系统,降低攻击成功后的损害程度,同时提升应急响应效率,确保潜在漏洞能够被快速修复。
课程特点
● 在线,自主学习
● 16-20小时学习内容
● 含实操和小测试
● 注册日起12个月内在线学习
● 交流论坛
● 经验水平:初级
目录
● 单元 1. Introduction
● 单元 2. Part 1: Requirements, Design and Reuse – Overview
● 单元 3. Security Basics
● 单元 4. Secure Design Principles
● 单元 5. Reusing External Software
● 单元 6. Part 2: Implementation – Overview
● 单元 7. Input Validation
● 单元 8. Processing Data Securely
● 单元 9. Calling Other Programs
● 单元 10. Sending Output
● 单元 11. Part 3: Verification and More Specialized Topics
● 单元 12. Verification
● 单元 13. Threat Modeling
● 单元 14. Cryptography
● 单元 15. Other Topics
● 单元 16. Final Exam
此课程为Linux 基金会官方原生课程,课程语言为英语。
Linux基金会开源软件学园 Copyright © 2019-2026 linuxfoundation.cn, ICP license, no. 京ICP备17074266号-2
