2022年CISE/CISO（注冊信息安全專業(yè)人員）考試內(nèi)容以考試大綱為基礎(chǔ)，如有考生想要參加并獲得CISE/CISO認(rèn)證，建議先了解考綱，2022年預(yù)計(jì)仍沿用2019年版本，小編特為大家整理了注冊信息安全專業(yè)人員知識(shí)體系大綱（CISE/CISO）每章內(nèi)容供大家參考。以下是關(guān)于CISE/CISO的“軟件安全開發(fā)：計(jì)算環(huán)境安全”內(nèi)容。

注冊信息安全專業(yè)人員知識(shí)體系大綱（CISE/CISO）

十、知識(shí)域：軟件安全開發(fā)

10.1  知識(shí)子域：軟件安全開發(fā)生命周期 10.1.1  軟件生命周期模型

了解軟件生命周期的概念及瀑布模型、迭代模型、增量模型、快速原型模型、 螺旋模型、凈室模型等典型軟件開發(fā)生命周期模型。

10.1.2 軟件危機(jī)與安全問題

了解三次軟件危機(jī)產(chǎn)生的原因、特點(diǎn)和解決方案；

了解軟件安全和軟件安全保障的基本概念。

10.1.3 軟件安全生命周期模型

了解 SDL 、CLASP 、CMMI、SAMM、BSIMM 等典型的軟件安全開發(fā)生命 周期模型。

10.2  知識(shí)子域：軟件安全需求及設(shè)計(jì)

10.2.1 威脅建模

理解威脅建模的作用及每個(gè)階段的工作內(nèi)容；

掌握 STRIDE 模型用于進(jìn)行威脅建模實(shí)踐。

10.2.2 軟件安全需求分析

理解軟件安全需求在軟件安全開發(fā)過程中的重要性；

理解安全需求分析的方法和過程。

10.2.3 軟件安全設(shè)計(jì)

理解軟件安全設(shè)計(jì)的重要性及內(nèi)容和主要活動(dòng)；

理解最小特權(quán)、權(quán)限分離等安全設(shè)計(jì)的重要原則；

理解攻擊面的概念并掌握降低攻擊面的方法。

10.3 知識(shí)子域：軟件安全實(shí)現(xiàn)

10.3.1  安全編碼原則

了解通用安全編程準(zhǔn)則： 驗(yàn)證輸入、避免緩沖區(qū)溢出、程序內(nèi)部安全、安全 調(diào)用組件、程序編寫編譯等；

了解編碼時(shí)禁止使用的風(fēng)險(xiǎn)函數(shù)；

了解相關(guān)的安全編碼標(biāo)準(zhǔn)及建議；

理解常見的代碼安全問題及處置辦法。

10.3.2 代碼安全編譯

了解代碼編譯需要關(guān)注的安全因素。

10.3.3 代碼安全審核

理解代碼審查的目的；

了解常見源代碼靜態(tài)分析工具及方法。

10.4  知識(shí)子域：軟件安全測試

10.4.1  軟件測試

了解測試用例等軟件測試的基本概念；

了解常見的軟件測試方法及不同測試方法之間的區(qū)別和優(yōu)缺點(diǎn)。

10.4.2 軟件安全測試

了解軟件安全測試的基本概念；

理解模糊測試、滲透測試等軟件安全測試方法的的原理、相互的區(qū)別以及各 自的優(yōu)勢；

掌握安全測試的思路和方法。

10.5  知識(shí)子域：軟件安全交付

10.5.1  軟件供應(yīng)鏈安全

了解軟件供應(yīng)鏈安全的概念并理解軟件供應(yīng)鏈安全措施。

10.5.2 軟件安全驗(yàn)收

了解軟件安全驗(yàn)收的重要性及需要考慮的內(nèi)容。

10.5.3 軟件安全部署

了解軟件安全部署的重要性及軟件安全加固、軟件安全配置的概念。