در سالهاي اخير سازمانها موفقيت زيادي در جهت امنسازي شبکههاي خود در برابر حملات خارجي بهدست آوردهاند؛ به اين جهت، امروزه بيشتر لايۀ برنامۀ کاربردي مورد توجّه نفوذگران قرار گرفته است. با توجّه به حملات جديدي که هر روزه بر روي برنامههاي کاربردي صورت ميگيرد، سازمانها بايستي دقّت بسيار زيادي در رابطۀ با خريد و توسعۀ برنامههاي مورد نياز خود انجام دهند؛ از اين رو به برنامهنويسان توصيه ميشود در هنگام توليد برنامههاي کاربردي نسبت به برنامهنويسي امن توجّه زيادي داشته باشند.
با توجّه به تهديدهاي امنيتي که تنها در لايۀ برنامۀ کاربردي قابل کشف است و همچنين ميزان اهميت جلوگيري از وقوع نفوذهاي امنيتي پيشبيني نشده، يکپارچهسازي فرآيند توليد نرمافزار با فعّاليتهاي امنسازي آن امري اجتنابناپذير ميباشد. زيرساخت نرمافزاري و سرويس مهياشده درنهايت بستر لازم را جهت عرضه يک برنامۀ کاربردي فراهم ميسازد. عدم رعايت اصول امنيتي در لايۀ برنامههاي کاربردي ميتواند مجموعه سرويسهاي امنيتي پايهريزيشده در لايههاي پايينتر را از بين برده و يا بياثر نمايد؛ لذا توجّه به امنيت برنامههاي کاربردي در يک سازمان از منظر چرخۀ حيات آن امري ضروري و اجتناب ناپذيري است.
امروزه بيشتر نگرانيهاي امنيتي در سازمانها در مورد امنيت شبكه و نرمافزار و بهطور كلّي امنيت فناوري اطّلاعات و ارتباطات است؛ ولي ديدگاه امنيتي به توليد نرمافزار و استفادۀ از آن كمتر مورد توجّه قرار گرفته است. اين ديدگاه منجر به اين واقعيت شده كه درصد بالايي از آسيبپذيريهاي فضاي تبادل اطّلاعات در زمينۀ نرمافزار و برنامۀ كاربردي است. در این دوره ساختارهای تعریفشده برای برنامهنویسی امن و مباحث مرتبط با آن توضیح داده شده و در ارتباط با نحوۀ صحّهگذاری بر آنها نیز روشها و ابزارهایی معرفی ميشود. همچنين سعی بر آن است که افراد مخاطرات عدم استفاده از روشهای برنامهنویسی امن را درک کرده و با روشها و ابزارهای برنامهنویسی امن، بهصورت عملی آشنا شوند.
1- آشنایی با مخاطرات عدم استفاده از برنامهنویسی امن
2- آشنایی با استانداردهای مطرح در این حوزه
3- آشنایی با روشها و ابزارهای صحّهگذاری بر تولید امن نرمافزار
تيمهاي توليدكنندۀ نرمافزار
1- مدل هاي توليد نرمافزار امن
1-1- مدل مستقل
1-2- مدل توزيعشده
1-3- مدل متمركز
2- بررسي استانداردهاي کدنويسي امن
2-1- آشنايي با استاندارد CERT براي برنامه نويسي امن
2-2- استاندارد وارسي امنيت در برنامه هاي كاربردي OWASP ASVS
2-3- بررسي استاندارد CC
3- آشنايي با طراحي معماري امن در توليد نرمافزار
4- بررسي حملات مربوط به پيادهسازي
5- آشنايي با مكانيزمهاي دفاعي در برنامههاي كاربردي تحت وب
6- بررسي آسيبپذيريهاي امنيتي در زبانهاي Cو C++
7- تحليل و قسمت امنيتي نرمافزار
7-1- تحليل ايستا
7-2- تحليل پويا
7-3- بازبيني سورس كد
