为全球信息安全专业人员提供教育及认证服务的非牟利组织ISC²reg;(读作“ISC-squared”,中译名为“国际信息系统安全核准联盟”), 今天宣布准备推出一项新的关于安全软件开发常规及资格的认证,以应对应用程序漏洞频生的问题。
CSSLP (Certified Secure Software Lifecycle Professional) 通过制定最佳工作常规以及对个别人员在整个软件生命周期(SLC)中解决安全问题的能力予以资格认证,以遏制因为软件开发过程中的不足而造成的应用程序漏洞问题。CSSLP采用整全方式来解决软件的安全问题。由于CSSLP采用的是中性代码语言,所以适用于软件生命周期(SLC)中涉及的所有人员,包括分析员、开发人员、软件工程师、软件架构师、项目经理、软件质量保证测试人员以及编程人员。
“超过70%的安全漏洞问题存在于应用层面上,对全世界的用户造成了严重且直接的威胁,”ISC²reg; 董事会成员及信息安全论坛(ISF)新任主席 Howard A. Schmidt 称,“安全防护通常是软件生命周期中的最后一道门闩,以应对已暴露的威胁。现在是我们行动的时候了,因为每天都有新开发且缺乏基本安全监控的应用程序面世,而且目前数以千计的安全漏洞也常常被忽略。”
“缺乏安全防护的软件不仅对企业是一个威胁,同时也会增加生产成本,延缓软件开发,另外还使终端用户不得不安排额外人员来维护软件,”拥有 CISSP-ISSEP、CAP、CISA及 CNSS 资格的ISC²reg; 总干事 W. Hord Tipton表示,“CSSLP 将成为对关键基础设施进行更好的保护、减少软件事故诉讼风险,以及更好地遵守行业和政府有关条例的关键因素。”
许多著名机构已表达了他们对CSSLP的支持,当中包括微软、Symantec、商业应用软件开发商协会(BASDA) 、印度数据安全委员会(Data Security Council of India-DSCI)(隶属印度软件与服务企业联合会,NASSCOM)、SANS、SRA国际、最佳代码软件保护论坛(SAFECode)、思科、Xerox、ISSA、以及Frost & Sullivan等。其中的一些机构正准备选派他们的合资格软件工作人员参加培训和考试。以下是一些表示支持的机构之意见:
“为了更好地保护用户免受不断出现的威胁影响,软件业必须共同努力,把安全防护更早地融入软件开发生命周期。微软大力支持软件业为培训和认证安全开发人员作出的努力,尤其对那些于资源有限的企业工作的人员。认证和培训跟执行措施承诺、工具运用以及良好的程序一样,都是软件安全开发的关键。”
-- Steven B. Lipner,微软安全工程战略部高级总监
“面对数据安全和隐私所面临的无法预知的挑战,印度数据安全委员会(DSCI)欢迎 ISC²针对解决整个软件生命周期中安全问题的计划。我们认为ISC² 的 CSSLP 认证能满足软件生命周期过程中的决策者对以程序为中心,并且厂商中立的国际专业安全认证的需求。同时,它还为软件厂商寻求向它们的客户提供符合国际以及严格内部安全合规政策的高质量产品,提供了良好的解决方案。”
-- Kamlesh Bajaj 博士,DSCI(由印度软件与服务企业联合会NASSCOM发起成立)行政总裁
“随着全球对信息和通讯技术的依赖不断增加,用户越来越关心软件的安全问题,尤其是政府、关键基础设施以及企业部门使用的软件。通过向软件专业人士提供认证,确保他们在整个开发过程中采取安全应用常规,ISC² 的 CSSLP 认证将帮助这个行业进一步解决‘人材’的问题。”
-- Paul Kurtz,SAFECode 执行董事
“有组织的犯罪集团把注意力频繁地放在对应用程序漏洞的攻击上,同时亦增加了攻击的频率,使软件安全成为保护敏感资料的首要考虑因素。我们认为 ISC² 新推出的 CSSLP 认证为解决这一关键问题提供了一条很好的解决途径。CSSLP 可以补充SANS用于测试软件开发人员安全编码技能的GIAC安全软件编程工程师 (GSSP)认证。”
-- Alan Paller,SANS 研究总监
CSSLP 考试的项目包括软件生命周期、漏洞、风险、资讯保安基本知识和遵从等方面。参加考试的人员必须在软件生命周期过程中有四年的实际工作经验或者三年的工作经验及资讯科技有关的学士学位(或地区性的同等学历)。
CSSLP CBKreg; 包括了关于安全软件项目的七个领域:
-- 安全软件的概念
-- 安全软件的要求
-- 安全软件的设计
-- 安全软件的实施和编码
-- 安全软件的测试
-- 软件验收
-- 软件配置、操作、维护和处置
Tipton 补充说,“CSSLP 将保证我们在这场战争中的第一道防线,即人的因素上,拥有恰当的工具和知识来在整个软件生命周期中,实践和加强安全。”
