Temario
CSSLP es la primera certificación que cubre todos los aspectos de la seguridad en el ciclo de vida del desarrollo de software, independiente de las tecnologías de programación empleadas y que pretende cubrir un requerimiento imprescindible, dada la importancia cada vez más crítica en los desarrollos web, para los participantes en el desarrollo en cualquiera de sus etapas.
A QUIÉN VA DIRIGIDO
Product managers, project managers, ingenieros de software, arquitectos de software, gestores de desarrollo, desarrolladores (programadores), testers y auditores y personal de operaciones que deseen certificar sus conocimientos en el campo de la seguridad.
TEMARIO
Los aspectos que debe dominar aquel que pretenda certificarse como CSSLP cubre lo que se llama como los 7 dominios de conocimiento que requiere el (ISC)², al candidato y son los que se tratan en el curso de preparación para el examen. Estos 7 dominios son los siguientes:
Conceptos de software seguro &ndash, implicaciones y metodologías de seguridad dentro de ambientes centralizados y descentralizados a través de sistemas informáticos de las empresas en desarrollo de software.
Conceptos básicos.
Principios de diseño de seguridad.
Privacidad.
Gobernanza, riesgo y cumplimiento.
Metodologías de desarrollo de software.
Requisitos de Software seguro &ndash, capturar controles de seguridad utilizados durante la fase de requisitos para integrar la seguridad dentro del proceso, identificar objetivos clave de seguridad y maximizar la seguridad del software mientras se reduce al mínimo la interrupción a planes y programas.
Descomposición política.
Clasificación y categorización de datos.
Requisitos funcionales.
Requisitos operativos.
Diseño de software seguro &ndash, traduce los requerimientos de seguridad en elementos de diseño de aplicaciones incluyendo la documentación de los elementos de las superficies de ataque de software, conducción del modelado de amenazas y definición de los criterios de seguridad específicos.
Procesos de diseño.
Consideraciones de diseño.
Asegurar la arquitectura normalmente usada.
Tecnologías.
Implementación/codificación de software seguro &ndash, comprende la aplicación de estándares de codificación y pruebas, aplicación de herramientas de prueba de seguridad, incluyendo herramientas de &lsquo,fuzzing&rsquo,, escaneo de código por análisis estático, y conduciendo revisiones de códigos.
Seguridad declarativa versus imperativa (programática).
Listas / Base de datos de vulnerabilidad.
Controles y prácticas de codificación defensiva.
Código fuente y control de versiones.
Desarrollo y creación de entorno.
Revisión por pares / códigos.
Análisis de códigos.
Técnicas de antimanipulación.
Prueba de software seguro&ndash, pruebas de control de calidad integradas para funcionalidad de seguridad y resistencia al ataque.
Prueba de artefactos.
Pruebas de seguridad y control de calidad.
Tipos de pruebas.
Evaluación del impacto y acciones correctivas.
Gestión del ciclo de vida de datos de prueba.
Aceptación del software&ndash, implicaciones de seguridad en la fase de aceptación del software incluyendo criterios de terminación, aceptación del riesgo y documentación, criterios comunes y métodos de pruebas independientes.
Pre-lanzamiento o Pre-despliegue.
Post-lanzamiento.
Despliegue, operaciones, mantenimiento y eliminación de software&ndash, cuestiones de seguridad en operaciones estables y gestión de software. Medidas de seguridad que deben adoptarse cuando un producto llega al fin de su fin de vida.
Instalación y despliegue.
Operaciones y mantenimiento.
Disposición del software.
Cadena de suministro y adquisición de software&ndash, proporciona un esquema integral de los conocimientos y tareas necesarias en la gestión de riesgo para el desarrollo, adquisición y contratación de software y servicios relacionados de terceros.
Evaluación de riesgos del proveedor.
Provisión de proveedores.
Prueba de desarrollo de software.
Entrega, operaciones y mantenimiento de Software.
Transición de proveedores.
