香港2008年9月26日电 /新华美通/ -- 为全球资讯保安专业人员提供教育及认证服务的非牟利组织 (ISC)2(R)(读作“ISC-squared”,中译名为“国际信息系统安全核准联盟”),今天宣布准备推出一项新的关于安全软件开发常规及资格的认证,以应对应用程序漏洞频生的问题。
CSSLP (Certified Secure Software Lifecycle Professional) 通过制定最佳工作常规以及对个别人员在整个软件生命周期(SLC)中解决安全问题的能力予以资格认证,以遏制因为软件开发过程中的不足而造成的应用程序漏洞问题。CSSLP 采用整全方式来解决软件的安全问题。由于 CSSLP 采用的是中性代码语言,所以适用于软件生命周期(SLC) 中涉及的所有人员,包括分析员、开发人员、软件工程师、软件架构师、项目经理、软件质量保证测试人员以及编程人员。
“超过70%的安全漏洞问题存在于应用层面上*,对全世界的用户造成了严重且直接的威胁,”(ISC)2(R) 董事会成员及信息安全论坛(ISF)新任主席 Howard A. Schmidt 称,“安全防护通常是软件生命周期中的最后一道门闩,以应对已暴露的威胁。现在是我们行动的时候了,因为每天都有新开发且缺乏基本安全监控的应用程序面世,而且目前数以千计的安全漏洞也常常被忽略。”
“缺乏安全防护的软件不仅对企业是一个威胁,同时也会增加生产成本,延缓软件开发,另外还使终端用户不得不安排额外人员来维护软件,”拥有 CISSP-ISSEP、CAP、CISA 及 CNSS 资格的 (ISC)2(R) 总干事 W. Hord Tipton 表示,“CSSLP 将成为对关键基础设施进行更好的保护、减少软件事故诉讼风险,以及更好地遵守行业和政府有关条例的关键因素。”
许多著名机构已表达了他们对 CSSLP 的支持,当中包括微软、Symantec、商业应用软件开发商协会 (BASDA) 、印度数据安全委员会 (Data Security Council of India-DSCI)(隶属印度软件与服务企业联合会,NASSCOM)、SANS、SRA 国际、最佳代码软件保护论坛 (SAFECode)、思科、Xerox、ISSA、以及 Frost & Sullivan 等。其中的一些机构正准备选派他们的合资格软件工作人员参加培训和考试。以下是一些表示支持的机构之意见:
“为了更好地保护用户免受不断出现的威胁影响,软件业必须共同努力,把安全防护更早地融入软件开发生命周期。微软大力支持软件业为培训和认证安全开发人员作出的努力,尤其对那些于资源有限的企业工作的人员。认证和培训跟执行措施承诺、工具运用以及良好的程序一样,都是软件安全开发的关键。”
-- Steven B. Lipner,微软安全工程战略部高级总监
“面对数据安全和隐私所面临的无法预知的挑战,印度数据安全委员会 (DSCI) 欢迎 (ISC)2针对解决整个软件生命周期中安全问题的计划。我们认为 (ISC)2 的 CSSLP 认证能满足软件生命周期过程中的决策者对以程序为中心,并且厂商中立的国际专业安全认证的需求。同时,它还为软件厂商寻求向它们的客户提供符合国际以及严格内部安全合规政策的高质量产品,提供了良好的解决方案。”
-- Kamlesh Bajaj 博士,DSCI(由印度软件与服务企业联合会 NASSCOM 发起成立)行政总裁
“随着全球对信息和通讯技术的依赖不断增加,用户越来越关心软件的安全问题,尤其是政府、关键基础设施以及企业部门使用的软件。通过向软件专业人士提供认证,确保他们在整个开发过程中采取安全应用常规,(ISC)2 的 CSSLP 认证将帮助这个行业进一步解决‘人材’的问题。”
-- Paul Kurtz,SAFECode 执行董事
“有组织的犯罪集团把注意力频繁地放在对应用程序漏洞的攻击上,同时亦增加了攻击的频率,使软件安全成为保护敏感资料的首要考虑因素。我们认为 (ISC)2 新推出的 CSSLP 认证为解决这一关键问题提供了一条很好的解决途径。CSSLP 可以补充SANS用于测试软件开发人员安全编码技能的 GIAC 安全软件编程工程师 (GSSP)认证。”
-- Alan Paller,SANS 研究总监
CSSLP 考试的项目包括软件生命周期、漏洞、风险、资讯保安基本知识和遵从等方面。参加考试的人员必须在软件生命周期过程中有四年的实际工作经验或者三年的工作经验及资讯科技有关的学士学位(或地区性的同等学历)。
CSSLP CBK(R) 包括了关于安全软件项目的七个领域:
-- 安全软件的概念
-- 安全软件的要求
-- 安全软件的设计
-- 安全软件的实施和编码
-- 安全软件的测试
-- 软件验收
-- 软件配置、操作、维护和处置
Tipton 补充说,“CSSLP 将保证我们在这场战争中的第一道防线,即人的因素上,拥有恰当的工具和知识来在整个软件生命周期中,实践和加强安全。”
首次 CSSLP 考试定于2009年6月底进行。目前,(ISC)2 正在接受符合经验和其他要求的专业人士报名参加评估。这些人将成为首批CSSLP资格拥有者,并且将被邀请参与考试开发程序以及协助其他项目的开发任务。2008年9月25日(美国时间)至2009年3月31日为 CSSLP 经验评估的接受申报期,第一期培训班预定于2009年一季度举办。
(ISC)2 简介
(ISC)2(R) (International Information Systems Security Certification Consortium, Inc.; 中译名为国际信息系统安全核准联盟)是一家为全球信息保安从业员提供国际金牌认证的组织。(ISC)2成立于1989年,已在130多个国家为超过60,000多信息保安菁英提供了资格认证。(ISC)2总部位于美国佛罗里达州棕榈港,在美国华盛顿、英国伦敦、香港以及东京设有办事处。(ISC)2 主要向达到标准的人士提供三种主要资格认证和相关专修教育:Certified Information Systems Security Professional(信息系统安全认证专家)(CISSP (R)) 及 CISSP 专业领域认证、Certification and Accreditation Professional(认证和鉴定专家)(CAP (R)),及 Systems Security Certified Practitioner(系统安全认证从业人员)(SSCP (R))。(ISC)2认证是首批符合 ANSI/ISO/IEC17024 全球人才评估认证标准下严格要求的信息技术证书。(ISC)2 亦提供 (ISC)2 CBK(R) 的教育产品及服务,进行全球信息安全从业员人力研究及发表报告。
(C) 2008, (ISC)2 Inc. (ISC)2, CISSP, ISSAP, ISSMP, ISSEP, and CAP, SSCP和 CBK 是(ISC)2, Inc. (国际信息系统安全核准联盟) 的注册标志。
