0x00 前言
软件开发团队的所有成员都必须接受适当的培训,了解安全基础知识以及安全和隐私方面的最新趋势。直接参与软件程序开发的技术角色人员(开发人员、测试人员和程序经理)每年必须参加至少一门特有的安全培训课程。
这个是微软针对安全培训的一系列要求,实际上不管是不是要做SDL落地,作为一个公司的安全团队都应该定期的做安全培训,有自己的内部可公开wiki,以及最基础的安全准则。本文脱胎于网上资料,以及一些个人想法。安全培训不仅仅是作为SDL实施前要做的事情,也是安全做一个最基础的普及。
微软的落地实施方案是将培训分为基础版,以及进阶版。并且围绕着安全以及隐私这两个话题来进行展开。文中的内容仅做参考,不做任何依据。
0x01 培训目的
目前能想到的点:
- 避免因为安全意识和常见安全问题导致公司利益受损,数据丢失,承担各种风险
- 避免因为安全意识和常见安全问题导致的工作效率滞后,问题处理困难,工作反复等
- 为SDL落地提供技术帮助
- 赋能,人人懂安全,人人为安全负责(DevSecOps)
- 初步证明安全的价值所在
因为上述缘由,在网上找到的最为认可的三个方面是:
- 安全意识
- 安全规范/制度
- 安全技能
制度或者说是规范是可以有一个标准形式的存在,但是安全意识以及安全技能则需要针对不同的人员,对比职能、岗位、工作来进行区分培训。
0x02 培训内容
1.基础安全意识培训
1.1 主要目的
- 提高整体安全水平,规避常见社工问题,以及密码相关安全问题
- 意识到网络安全的重要性,意识到网络攻击带来的危害
1.1 介入时间节点&方式:
- 入职培训
- 定期分部门进行培训宣讲
- 安全宣语,资金充足可制作周边宣传
- 安全演习
- 钓鱼演练
- 社工模拟
- 公司内部证书&内部学习积分奖励
- 建立公开wiki,随时看随时查
1.2 针对人员
- 新入职员工
- 对安全了解少,意识薄弱的所有公司员工
1.3 培训内容
2.安全规范/制度
此规范和制度,应该在公司领导层的认可下,进行研讨和发布,不能仅仅通过培训来进行下发,只有将安全规范和制度融入到公司制度中,才可拥有一定的限制力和约束力。
安全技术方面的内容,之后慢慢补充,一时半会儿搞不定了= =
3.安全技术
3.1 WEB安全开发
3.2 培训内容
- owsp top10
- 对应程序的安全编码规范
3.2 APP安全开发
- Mobil Top10
