7.5.3  安全培訓(xùn)

在軟件開發(fā)整個(gè)過程中，都要對(duì)開發(fā)人員進(jìn)行安全培訓(xùn)。培訓(xùn)內(nèi)容包括：

1)對(duì)環(huán)境、網(wǎng)絡(luò)、代碼、文檔等方面的管理培訓(xùn)

主要培養(yǎng)員工維護(hù)開發(fā)環(huán)境、網(wǎng)絡(luò)、代碼的安全意識(shí)，了解開發(fā)規(guī)范的安全要求。

2)對(duì)配置管理的培訓(xùn)

使員工熟悉項(xiàng)目的配置管理工具、版本管理方法、變更管理方法等，對(duì)負(fù)責(zé)備份的人員進(jìn)行備份方法、災(zāi)難恢復(fù)方法的培訓(xùn)，保證項(xiàng)目的正常進(jìn)行。

3)對(duì)安全編程的培訓(xùn)

包括系統(tǒng)設(shè)計(jì)中的安全要素和可能出現(xiàn)的安全漏洞、編程中的常見安全問題、良好的編程習(xí)慣、進(jìn)程的安全性、文件的安全性、動(dòng)態(tài)鏈接庫的安全性、指針的安全性、Socket和網(wǎng)絡(luò)通訊的安全性、避免緩沖區(qū)溢出、驗(yàn)證所有的輸入、避免隨意的輸出信息、接口安全性、 調(diào)用函數(shù)的安全性。

4)對(duì)安全測(cè)試的培訓(xùn)

包括單元測(cè)試中測(cè)試代碼的安全性、系統(tǒng)安全性測(cè)試的內(nèi)容和方法、網(wǎng)絡(luò)程序的安全性測(cè)試內(nèi)容和方法、容錯(cuò)性和可靠性測(cè)試方法。

5)對(duì)知識(shí)產(chǎn)權(quán)意識(shí)的培訓(xùn)

培養(yǎng)員工使用第三方資源的知識(shí)產(chǎn)權(quán)意識(shí)，避免在設(shè)計(jì)和開發(fā)中引入法律糾紛的隱患。