7.5.3  安全培訓

在軟件開發(fā)整個過程中，都要對開發(fā)人員進行安全培訓。培訓內(nèi)容包括：

1)對環(huán)境、網(wǎng)絡、代碼、文檔等方面的管理培訓

主要培養(yǎng)員工維護開發(fā)環(huán)境、網(wǎng)絡、代碼的安全意識，了解開發(fā)規(guī)范的安全要求。

2)對配置管理的培訓

使員工熟悉項目的配置管理工具、版本管理方法、變更管理方法等，對負責備份的人員進行備份方法、災難恢復方法的培訓，保證項目的正常進行。

3)對安全編程的培訓

包括系統(tǒng)設計中的安全要素和可能出現(xiàn)的安全漏洞、編程中的常見安全問題、良好的編程習慣、進程的安全性、文件的安全性、動態(tài)鏈接庫的安全性、指針的安全性、Socket和網(wǎng)絡通訊的安全性、避免緩沖區(qū)溢出、驗證所有的輸入、避免隨意的輸出信息、接口安全性、 調(diào)用函數(shù)的安全性。

4)對安全測試的培訓

包括單元測試中測試代碼的安全性、系統(tǒng)安全性測試的內(nèi)容和方法、網(wǎng)絡程序的安全性測試內(nèi)容和方法、容錯性和可靠性測試方法。

5)對知識產(chǎn)權意識的培訓

培養(yǎng)員工使用第三方資源的知識產(chǎn)權意識，避免在設計和開發(fā)中引入法律糾紛的隱患。