CSSLP安全程式開發認證課程9月在臺開課

由資安認證機構ISC2推出的全球第一個針對開發人員的CSSLP（Certified Secure Software Lifecycle Profession，資安軟體開發專家）認證課程，將在臺灣開課，由精誠恆逸資訊於9月起到年底，以每個月1班的方式，推出40小時的CSSLP認證課程。

因為80％的資安漏洞都源自於應用程式設計不良，精誠資訊知識產品事業部產品經理唐任威表示，如果能夠從程式設計、開發之初，除了功能性的需求外，還能夠納入安全性的需求，從「高品質的軟體不一定安全，但安全的軟體，品質一定不差」的角度來看，懂得安全的程式開發不只是資安人員要擔負的責任，更是開發人員必須具備的基本素養。

唐任威表示，CSSLP資安軟體開發專家認證課程的對象，主要是從事軟體開發的開發人員、測試人員、系統分析師、系統架構師、稽核人員或軟體開發專案經理，可說是一門從軟體工程來看「軟體開發生命周期」（SDLC）的基礎課程。

「以往軟體開發只重視功能性，」唐任威指出，從需求分析開始，一路到程式開發、測試、部署操作甚至報廢，安全性需求常被忽視。也因為多數程式開發人員往往忽略軟體開發的安全性，他說，許多資安人員朗朗上口的OWASP十大網站程式安全漏洞，對軟體開發工程師而言，像是另外一種世界的語言、格格不入。

唐任威舉例，系統分析師跟使用者單位進行需求訪談時，到進入軟體設計階段前，系統分析師通常會先提出一份需求報告給程式設計、開發和測試人員，「但這份報告並不包括任何安全性需求。」他說。

因為安全不是功能性需求，所以不需要列在這份報告中。但在這門從軟體開發生命周期角度切入的認證課程中，就會要求系統分析師在這份提出給程式設計、開發和測試人員的報告中，必須將所有的安全性需求列成一份檢查清單（Check List）作為相關人員開發、測試時的參考依據。

精誠資訊將使用ISC2原版授權英文教材、中文授課，從SDLC的7大領域講授，分別是「軟體安全概論」、「軟體安全需求」、「軟體安全設計」、「軟體安全實做、開發」、「軟體安全測試」、「軟體驗收」和「軟體部署、操作、維護及報廢」。

「這是一門安全軟體開發的管理課程，」唐任威表示，如何開發安全的軟體，從概念篇開始一直到最後，都不涉及任何Java或微軟.NET開發平臺或技術。他指出，從軟體開發生命周期看程式設計，就是希望能夠做到「防範未然」，並讓程式開發人員能清楚知道軟體生命周期、漏洞、風險、資訊安全基本知識和應該遵守的法規規範等。

ISC2從2008年9月推出CSSLP認證後，2009年7月15日舉行全球第一場CSSLP認證，而精誠資訊也將從9月開始，每個月會開1班CSSLP認證課程。文⊙黃彥棻