|
课程培训
|
软件供应链安全培训课程
模块1:软件供应链安全概述 1. 定义与重要性 o 什么是软件供应链? o 软件供应链攻击的典型案例(SolarWinds、Log4j等) o 为什么软件供应链安全是数字化转型的核心? 2. 关键环节与风险全景图 o 开发阶段(代码、依赖库、工具链) o 分发阶段(包管理器、镜像仓库) o 部署阶段(CI/CD管道、运行时环境)
模块2:常见攻击类型与威胁建模 1. 攻击面分析 o 第三方组件漏洞(NPM/PyPI恶意包) o 构建工具篡改(编译器、CI/CD投毒) o 升级劫持(域名劫持、中间人攻击) 2. 威胁建模实践 o STRIDE模型在供应链中的应用 o 绘制软件供应链数据流图(DFD)
模块3:安全开发实践(DevSecOps) 1. 安全编码与依赖管理 o 如何选择可信的开源组件(SCA工具:Snyk/Dependabot) o 软件物料清单(SBOM)生成与审计(SPDX、CycloneDX) 2. 构建环境加固 o 隔离构建环境(容器化/沙箱) o 构建工具签名验证(如GitHub Actions的认证)
模块4:供应链安全工具链 1. 静态与动态分析 o 静态应用安全测试(SAST)工具(SonarQube/Semgrep) o 动态分析(DAST)与交互式(IAST)工具 2. 二进制审计与溯源 o 二进制成分分析(BCA) o 代码签名与验签(Sigstore/Cosign)
模块5:合规与标准 1. 国际标准与框架 o NIST SSDF(安全软件开发框架) o SLSA(供应链级别安全架构)分级实践 o ISO/IEC 27034应用安全标准 2. 法规要求 o 中国《网络安全法》与《软件供应链安全要求》 o 美国EO 14028(改善国家网络安全行政令)
模块6:应急响应与恢复 1. 事件处理流程 o 漏洞披露与响应(PSIRT团队组建) o 供应链攻击的取证与溯源 2. 灾后复盘 o 制定回滚与修复策略 o 案例研讨:真实供应链攻击的恢复过程
模块7:企业级落地实践 1. 组织架构与流程设计 o 供应链安全职责划分(开发/运维/安全团队协作) o 供应商安全评估问卷(VSAQ) 2. 红队演练 o 模拟供应链攻击(如依赖库投毒演练) o 攻防对抗实战(Capture The Flag场景)
模块8:未来趋势与扩展 1. 新兴技术挑战 o AI生成代码的安全风险 o 云原生供应链安全(OCI镜像、Serverless函数) 2. 行业协作 o 加入OpenSSF等开源安全倡议 o 共享威胁情报(如CHAOSS数据库) 如果您想学习本课程,请预约报名
如果没找到合适的课程或有特殊培训需求,请订制培训 除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916 技术服务需求表下载请点击 服务优势: 丰富专家资源,精准匹配相关行业,相关项目技术精英,面向用户实际需求,针对性培训或咨询,互动式交流,案例教学,精品小班,实际工程项目经验分享,快捷高效,节省时间与金钱,少走弯路与错路。 专家力量: 中国科学院相关研究所高级研究人员 西门子,TI,vmware,MSC,Ansys,MDI,Mentor, candence,Altium,Atmel 、Freescale,达索,华为等 大型公司高级工程师,项目经理,技术支持专家 中科信软培训中心,资深专家或讲师 大多名牌大学,硕士以上学历,相关学历背景专业,理论素养高 多年实际项目实践,大型复杂项目实战案例分享,热情,乐于技术分享 针对客户实际需要,真实案例演示,互动式沟通,学有所值 |
|
