《背景》
2019 年底上了 Vincent老師的CSSLP資安軟體開發專家認證課程,會要考這張證照主要是因為客戶(人員 compliance) 需求,自己職務會常常需要做code review, VA, PT。兩年前也上過Vincent 老師的CEH(EC-Council CEH駭客技術專家認證課程)並取得認證,在讀研究所時也已經開始接觸資安。
《考試準備》
上完Vincent 老師的CSSLP資安軟體開發專家認證課程後,把課程筆記整理好,不斷的 review 及理解內容,每天下班留2-3小時K書,也利用六日去K書。
除了 (ISC)2 Official 課本及之前上課的筆記,也讀了 Mano Paul的CSSLP書。
《準備策略》
因為內容有點多,我是利用關鍵字方式吧很多資訊簡約化(濃縮化),但建議要先了解內容(例如 COSO->Fraud, Biba->Integrity, sanitization->stripping, substitution, literalization, 等等),考試前就快速的再review一遍,也記得把課本所有練習題都做完。
《應考心得》
考試題目 175題: 4個小時
1. 考試前要睡好,考試時 好精神很重要(因為要考很久)
2. 問題要看仔細,不確定的可以先 Flag
3. 有把握的答案不用 Flag
4. 全部答完 先針對被 Flag 題目
5. 把所有答案 再review 一邊(不管有沒有被 Flag)
最後我就把所有答案分類成3類:100%對,50:50,亂猜的當比例,把握度低於 70% 時一定要重新 review,一邊總結。
由於職務需要 就上了 CSSLP 認證課程,本課程主要會講解開發流程需要注意的8個項目(8 Domain),讓我們可以開發更安全的軟體(產品),降低資安威脅在軟體開發時候發生。
Vincent 講師在此課程擁有專業的資安知識,也具備很多資安證照,在課程會特別提醒學生在軟體開發流程需要特別注意的事項。不管學生目的是為了 取得證照或只是為了加強自己在軟體開發的經驗與知識 都會有很大的幫助。
課程也不會特別限制與在某個程式語言,而會專注在流程 包含了軟體開發在 requirement, design, implementation, testing, deployment, operation, disposal 需要注意的資安問題。
CSSLP 考試範圍 還滿廣,學生考試前建議先把課本每個 domain 與 比較細節的內容深入的理解,針對每個流程的順序也要熟悉一下。也建議參考其他 CSSLP或CISSP課本,因為CSSLP有些 Domain 有包含在 CISSP 內容。 最後也可以試著把課程裡面的內容或理論,連結到我們在 開發軟體會進行的流程,不足的地方就補上去。
這樣做會讓我們不只是強在理論而有實際的 Implementation 的經驗,也會讓我們更加熟悉軟體安全開發每一個細節。