培训
安全知识的培训对软件开发组织中的每个角色都至关重要,这是做好软件开发安全实践的前提。“培训”域主要描述了组织为提升高管和技术人员安全知识水平而制定并更新软件安全培训内容和考核内容的能力。
培训
- 对高管进行安全软件意识培训
高管一般指的是组织中C(Chief)字头的管理者,拥有软件开发组织制度建设和资源调配的最大权限。高管在软件安全上的认知对推进组织的软件安全建设将起到决定性的作用。通常情况下,高管一般是非安全人员或技术人员,对他们应该着重强调意识培训及案例、法规的解读,帮助他们认识到软件安全的重要性。在该子域中我们将评估高管入职培训或者是定期培训的频率以及相应的考核内容,确保高管能建立起足够的软件安全意识。
- 对技术人员的安全技能培训
技术人员是软件开发的实施者,对软件安全有着最直接的影响。本着“安全无处不在,安全与业务融为一体”的理念,软件安全的知识技能应该覆盖到整个软件开发生命周期中。涉及到软件开发生命周期的相关人员,都应该进行对应的安全知识技能培训,培训的内容应该在高管意识培训的基础上,增加具体的安全技能知识,包括常见的安全攻击方式、安全代码规范等,根据产品经理、项目经理、开发、测试等不同角色制定不同内容,定期培训和考核,并将考核结果与绩效指标挂钩,让技术人员提升软件安全的认知。
- 根据公司经验教训建立并使用特定的培训材料
软件开发组织常常会将组织或项目管理运作过程中吸取的经验教训用作内部培训的材料。但由于每个项目的独特性,很难从某个技术方案中提炼出能被其他项目组采纳的内容。而软件安全问题具有普遍性,它是真实发生过的案例,并且也可能发生在其他组织中,用作培训材料更容易对其他组织起到警醒作用。在安全测试、渗透测试或攻防演练等活动中发生的安全事件,都是软件开发组织重要的知识和经验,通过对其不断总结和复盘,形成培训材料,将有助于提升相关角色的安全意识和技能。
- 外部优秀安全经验吸收能力
外部优秀的安全经验能够让组织感受到所在行业软件安全开发能力的发展趋势,以及组织在行业中所处的位置,使得组织的管理者能更客观地观察到自身软件存在的安全问题。定期聘请外部经验丰富的专家为组织提供咨询或培训服务,有助于组织了解新的安全思想、安全技术以及安全实践,紧跟软件安全发展的最新趋势,提升团队的安全开发能力。外部的优秀经验可以来自于有影响力的个人或者组织,通过宣讲会、驻场、咨询、会议等提升行业软件安全能力的指导性影响。
S-SDLC CMM 模型现已发布,点击立即下载获取最新模型!
