你會(huì)學(xué)到什么
? 安全基礎(chǔ)：了解風(fēng)險(xiǎn)管理、“CIA”三元組和要求。
? 安全設(shè)計(jì)原則：討論“最小權(quán)限”等原則以及如何應(yīng)用這些原則。
? 供應(yīng)鏈評(píng)估：了解有關(guān)如何選擇要重用的包以及如何重用它們的技巧，以便您可以快速收到警報(bào)和更新軟件。
? 實(shí)現(xiàn)：了解如何實(shí)現(xiàn)更安全的軟件（如何進(jìn)行輸入驗(yàn)證、安全地處理數(shù)據(jù)、調(diào)用其他程序和發(fā)送輸出）和更專業(yè)的方法（例如密碼學(xué)和處理問(wèn)題的基礎(chǔ)知識(shí)）。
? 安全驗(yàn)證：了解如何檢查軟件，包括一些關(guān)鍵工具類型，如何在持續(xù)集成（CI）中應(yīng)用它們。
? Fielding：了解如何部署和操作安全軟件、處理漏洞報(bào)告以及如何在重用組件存在已知漏洞時(shí)快速更新。
? 了解如何安全地使用和開(kāi)發(fā)開(kāi)源軟件。

項(xiàng)目概述
今天幾乎所有的軟件都受到攻擊，許多組織在防御時(shí)毫無(wú)準(zhǔn)備。這一專業(yè)證書(shū)計(jì)劃由開(kāi)源安全基金會(huì)（OpenSSF）開(kāi)發(fā)，是Linux基金會(huì)的一個(gè)項(xiàng)目，面向軟件開(kāi)發(fā)人員、運(yùn)營(yíng)模式專業(yè)人員、軟件工程師、Web應(yīng)用程序開(kāi)發(fā)人員和其他有興趣學(xué)習(xí)如何開(kāi)發(fā)安全軟件的人，重點(diǎn)關(guān)注即使在資源有限的情況下也可以采取的實(shí)際步驟來(lái)提高信息安全。該計(jì)劃使軟件開(kāi)發(fā)人員能夠創(chuàng)建和維護(hù)更難成功攻擊的系統(tǒng)，減少攻擊成功時(shí)的損害，并加快響應(yīng)速度，以便快速修復(fù)任何潛在的漏洞。課程中涵蓋的最佳實(shí)踐適用于所有軟件開(kāi)發(fā)人員，其中包括對(duì)使用或開(kāi)發(fā)開(kāi)源軟件的人特別有用的信息。
該程序討論了風(fēng)險(xiǎn)和要求、設(shè)計(jì)原則以及評(píng)估代碼（如包）以供重用。然后它側(cè)重于關(guān)鍵的實(shí)現(xiàn)問(wèn)題：輸入驗(yàn)證（例如為什么應(yīng)該使用允許列表而不是拒絕列表）、安全地處理數(shù)據(jù)、調(diào)用其他程序、發(fā)送輸出、密碼學(xué)、錯(cuò)誤處理和事件響應(yīng)。隨后討論了各種驗(yàn)證問(wèn)題，包括測(cè)試，包括安全測(cè)試和滲透測(cè)試，以及安全工具。它以關(guān)于部署和處理漏洞報(bào)告的討論結(jié)束。
該計(jì)劃中包含的培訓(xùn)課程側(cè)重于您（作為開(kāi)發(fā)人員）可以采取的實(shí)際步驟來(lái)對(duì)抗最常見(jiàn)的攻擊類型。它不關(guān)注如何攻擊系統(tǒng)、攻擊如何工作或長(zhǎng)期研究。
現(xiàn)代軟件開(kāi)發(fā)依賴于開(kāi)源軟件，開(kāi)源現(xiàn)在在數(shù)據(jù)中心、消費(fèi)設(shè)備和服務(wù)中無(wú)處不在。重要的是，負(fù)責(zé)網(wǎng)絡(luò)安全的人能夠理解和驗(yàn)證開(kāi)源貢獻(xiàn)者和依賴關(guān)系鏈的安全性。由于OpenSSF的參與，這是一個(gè)跨行業(yè)的合作，匯集了領(lǐng)導(dǎo)者，通過(guò)建立更廣泛的社區(qū)、有針對(duì)性的計(jì)劃和最佳實(shí)踐來(lái)提高開(kāi)源軟件的安全性，該計(jì)劃提供了如何安全地使用和開(kāi)發(fā)開(kāi)源的具體提示。

本計(jì)劃的課程
1. LinuxFoundationX的安全軟件開(kāi)發(fā)基礎(chǔ)專業(yè)證書(shū)
2. 安全軟件開(kāi)發(fā)：需求、設(shè)計(jì)和重用
每周1-2小時(shí)，共7周
了解允許您開(kāi)發(fā)針對(duì)攻擊的軟件的安全基礎(chǔ)知識(shí)，并了解如何在漏洞被利用時(shí)減少損害并加快響應(yīng)速度。
3. 安全軟件開(kāi)發(fā)：實(shí)施
每周1-2小時(shí)，共7周
了解軟件開(kāi)發(fā)人員可以采取的實(shí)際步驟，即使他們的資源有限，也可以實(shí)施安全軟件。
4. 安全軟件開(kāi)發(fā)：驗(yàn)證和更專業(yè)的主題
每周1-2小時(shí)，共7周
了解如何驗(yàn)證軟件的安全性，并更深入地了解應(yīng)用威脅模型和密碼學(xué)的基礎(chǔ)知識(shí)。
5. 就業(yè)展望
o 在接受2020年開(kāi)源工作報(bào)告調(diào)查的技術(shù)招聘經(jīng)理中，48%表示招聘具有安全專業(yè)知識(shí)的專業(yè)人士是重中之重。
o 根據(jù)Zip招聘人員2020年9月25日的數(shù)據(jù)，安全軟件開(kāi)發(fā)人員的收入比美國(guó)全國(guó)平均水平的軟件開(kāi)發(fā)人員高出35%。
o 美國(guó)勞工統(tǒng)計(jì)局報(bào)告稱，從2019年到2029年，信息安全分析師的就業(yè)人數(shù)預(yù)計(jì)將增長(zhǎng)31%，遠(yuǎn)高于所有職業(yè)的平均水平，也高于軟件開(kāi)發(fā)人員的總體增長(zhǎng)（22%）。
o 根據(jù)ESG和ISSA在2020年7月進(jìn)行的一項(xiàng)研究，70%的受訪者聲稱他們的組織受到了全球網(wǎng)絡(luò)安全技能短缺的重大或部分影響。