（ISC）2首推軟體開發安全認證，重視軟體生命周期

有越來越多的資安事件是因為不安全的應用程式所造成的，為了提升軟體開發的安全性，許多廠商在整個軟體開發的過程中，越來越看重SDLC（Software Develop Lifecycle，軟體開發生命周期）。
資安教育與認證組織（ISC）2近期則針對應用程式開發的安全性，推出一張新型態的軟體安全開發的證照CSSLP（軟體安全開發專家認證），將於2009年第一季推出第一期培訓班，明年6月底進行第一次考試，即日起到2009年3月底止，接受有經驗的資安工作者報名CSSLP的第一次考試。

有越來越多軟體和資安廠商，例如微軟、賽門鐵克與思科（Cisco）等廠商，都已經深刻理解到，不安全的軟體開發這個環節，將可能因為一個開發上的小錯誤，而讓整個系統門戶洞開。為了杜絕相關軟體開發工程師在軟體設計、開發之初，因為沒有遵守一定的安全程式軟體開發生命周期的法則，忽略許多軟體開發應注意、未注意的細節，而導致應用程式有疏漏，（ISC）2日前便針對相關開發人員，推出第一個應用程式開發安全性的軟體安全開發專家認證CSSLP。

根據Gartner在2005年的研究資料，超過70%的安全漏洞問題存在於應用層，對全世界的用戶造成了嚴重且直接的威脅。（ISC）2亞太區公關經理鍾嘉儀引述（ISC）2總幹事 W. Hord Tipton說法表示，「缺乏安全防護的軟體不僅對企業是一個威脅，同時也會增加生產成本，延緩軟體開發，另外，還使終端用戶不得不安排額外人員來維護軟體。」所以，（ISC）2透過CSSLP認證，讓開發人員能遵循一定的安全開發原則，減少軟體開發疏漏所衍生的訴訟風險，以及能更妥善地遵守行業和政府有關法規遵循等關鍵因素。

W. Hord Tipton指出，「推出CSSLP認證主要是希望能透過制定最佳實務（Best Practice），以及針對個別人員在整個軟體開發生命周期（SDLC）中，解決安全問題的能力給予資格認證，」藉此為開發人員開發能力把關。

依照（ISC）2規定，要考取CSSLP至少必須具備4年以上軟體開發實際工作經驗，或者是資訊相關學位加上3年的工作經驗。目前適合考取相關認證的工作內容包括系統分析師（SA）、軟體開發工程師、軟體工程師、軟體架構師、專案經理、軟體測試人員等。

CSSLP的考試內容包括軟體開發生命周期、漏洞、風險、資訊保護基本知識和法規遵循等方面。至於CSSLP CBK研習科目中，包括了安全軟體開發的7個領域，除了安全軟體的概念、要求和設計外，也囊括安全軟體的實施和編碼、安全軟體的測試、軟體驗收以及軟體配置、操作、維護和處置等7大領域。

根據（ISC）2的規畫，只要符合CSSLP考試資格的IT人員，自即日起到2009年3月31日止，都可以開始報考2009年6月底推出的第一次考試。這些第一批參加考試的人員，除了會是全世界第一批取得CSSLP認證的IT人外，還可以針對考試內容提供建議，並有機會參加其他的軟體開發工作。不過，鍾嘉儀表示，針對明年第一季推出的CSSLP培訓班，美國目前尚未有進一步的資料提供，臺灣會由那個教育訓練中心負責舉辦培訓班，則尚未有定論。文⊙黃彥棻