軟體安全開發概論

本課程適合學習者：

1. 產品安全開發部門的研發工程師
2. 智慧製造部門的研發工程師
3. 關鍵基礎建設的研發工程師
4. 企業已導入 IEC62443-4-1 標準的資安委員會成員、資安工程師
5. 服務供應商、系統製造商、關鍵基礎設施業者、資安業者、科學園區或高科技產業人員

由於科技產品的推出與快速成長，因應市場需求，同時加速產品的開發與上市時程，產品上的軟體並不完全是自主研發，許多採用公開的原始碼或函式庫中蒐集、整合大量的預編譯組件及函式庫，這也提高了產品安全風險的問題。

所以產品開發時，該如何同時兼顧安全性？應該從產品設計與開發階段開發階段，遵循安全軟體開發週期(SSDLC)，從系統設計的方式到系統運作與維護，找出相關類型的攻擊風險，降低產品安全弱點與影響程度。

上完這門課，可以幫助學員對以下資安能力的認知：

本課程適合學習者：

1. 產品安全開發部門的研發工程師
2. 智慧製造部門的研發工程師
3. 關鍵基礎建設的研發工程師
4. 企業已導入 IEC62443-4-1 標準的資安委員會成員、資安工程師
5. 服務供應商、系統製造商、關鍵基礎設施業者、資安業者、科學園區或高科技產業人員

SDLC是用於描述一個資訊系統從規劃、建立、測試到最終完成部署的全過程，系統開發生命周期的概念對於硬體和軟體系統都是適用的，這些系統可能只由硬體或軟體組成，也可能兩者都有，行政院資安辦公室於2015 年7月底頒佈「資訊系統分級與防護基準作業規定」，其中最矚目的重點就在於對安全軟體開發週期(Secure SDLC, SSDLC)的要求。

課程將幫助了解SSDLC規範下的全貌：

開發人員在開發階段能夠遵循SSDLC，從需求、設計、開發各階段都能夠建立安全規範，落實資訊安全要求，降低資安風險，減少後續修補安全性的人力與成本，課程將逐一帶領學員了解每個環節的安全規範

1. 安全的架構設計
2. 軟體程式開發的資安防護機制
3. 環境部署的安全考量

本課程培養研發人員，在產品規劃及開發階段對於安全的規範與要求，開發初期以風險分析的手法，降低產品弱點與影響程度；設計期在軟體設計上，加入安全性防禦手法；測試期運用安全測試方式，對於產品進行安全性測試；部署階段環境與組態設定的原則。

學後，學員將可以具備 

1. 產品安全開發的架構與安全性策略
2. 常見的軟體安全防禦手法
3. 安全開發的測試

軟體開發安全概念

軟體安全撰寫

軟體安全測試