企业级软件安全开发能力提升计划-绶带项目方案-端玛

企业级软件安全开发能力提升计划-绶带项目方案

绶带项目宗旨

● 根据教育等级将培训分为从初级到高级的几个简明阶段

● 利用项目奖励措施来提高员工参与积极性

● 将培训分为不同等级帮助增加员工间的友好竞争

● 帮助在您的整个组织中增加采用安全培训的比率

● 全局系统化方法帮助支持员工行为的转变与公共学习体系的建立

绶带项目操作

第1步：

将培训划分为不同绶带等级，并在不同的绶带等级配以相应的学习活动

优点：

√ 目标看起来更近因此也更易达到
√ 员工可将培训纳入其繁忙的日程表中
√ 随着员工完成绶带等级培训，他们可以结合教育与实操活动来规范化并加强对概念的理解，从而实现行为的转变与安全的态度的养成

第2步：

为每个绶带等级创建认可&奖励模型

优点：

√ 创造完成培训的紧迫感
√ 创造友好竞争意识
√ 创造价值与积极的强化作用

各绶带等级示例课程

绿带 –

软件安全开发基础

蓝带–

威胁、漏洞与缓解措施

红带–

创建安全软件并保护敏感数据

黑带–

测试与高级缓解技术

要求：

完成以下课程的学习：

Java/.NET/C++/Objective C开发人员：

√ 应用安全基础

√ 安全开发基础

√ 架构风险分析与缓解

√ 如何创建应用安全设计需求

√ 安全测试基础

√ 信息&应用安全意识– ILT

√ 有效的威胁建模– ILT

+ 1种实践学习活动

√ 成为安全组织的一员

√ 参与一次安全问题分析

要求：

完成以下课程的学习：

Java 开发人员：

√ 数据库安全开发基础

√ 创建安全代码：Java基础

√ 跨站脚本介绍—JSP

√ 创建安全的AJAX代码—Java基础

√ 创建安全代码—Web API基础

√ OWASP Top 10—威胁与缓解措施

√ 如何创建应用安全威胁模型

√ 如何测试the OWASP Top 10项目

√ CWE/SANS Top 25 - ILT

√ 攻击者技术揭秘- ILT

√ OWASP Top 10 威胁与缓解措施- ILT

+ 1种实践学习活动

√ 学习一种新的与您工作职责相关的安全工具或进程

√ 参与一次安全问题分析

√ 参加员工指导的安全课程/研讨会

要求：

完成以下课程的学习：

Java 开发人员:

√ 创建安全的Java代码

√ 创建安全的HTML5码

√ 创建安全的jQuery 代码

√ 密码学基础

√ 创建安全的应用架构

√ 安全架构解决方案- ILT

√ 创建安全的设计需求- ILT

√ Web应用安全测试– ILT

+ 2种实践学习活动：

√ 设计/开发一种安全特性

√ 进行一场安全演讲

√ 领导一次安全问题分析

√ 指导蓝带学员

要求:

完成以下课程的学习：

Java 开发人员:

√ 安全缺陷类

√ 高级软件安全测试工具&技术

√ CSC J2EE 应用 - ILT

+2种实践学习活动

√ 领导一次安全测试

√ 执行一次SDLC差距分析

√ 指导一次安全课程/研讨会

√ 针对内部安全问题与其缓解措施进行一次演讲

√ 指导红带学员