背景：

個人在資訊整合服務業從事資安顧問工作，而資訊整合服務業資安顧問的重要任務，就是解決客戶各式各樣的問題並能提出改進建議。以往的做法總是偏向從產品技術面，並搭配一些安全制度(如ISO/IEC27001)的要求給意見，久而久之慢慢感覺到必須從程式設計開發之初就要納入安全因素，才是有效的問題解決方法，這也是我參加恆逸CSSLP認證課程的主要原因。 講師唐任威是一名資安理論、經驗與實作均十分傑出的老師，學生幾年前也上過老師ECSAv9課程並考上證照。

CSSLP上課經驗：

這次CSSLP課程技術色彩並沒有那麼濃厚，而是根據原廠教材(CSSLP Official ISC2 Student Guide)內容按步就班的講解 。因為老師是駭客技術背景出身，除了教材內容外還會穿插一些攻防相關的技術知識，而這種教學方式對於通過CSSLP考試助益甚大。

考試準備：

我自認是一個患得患失的人，所以要花大錢考證照總是要摸清它的底細方向。考前對於CSSLP一直有個疑問：國內通過的人不多背後是不是有甚麼潛在的原因? 所以報名前上Google搜尋了一下，發現CSSLP的訊息真的不多，但有一個老外的抱怨引起了我的注意，大意是他買了原廠的網路課程也專心上課，但考完試後發現題目與教材方向有差異。比如沒有提到Biba Integrity Model害他沒通過等等…。

這個貼文讓我意識到是不是精讀原廠教材還不夠(因為原廠教材還真的沒講這個model)，還要補充其他的知識呢? 原廠教材在編排上有點亂，講解的觀念沒辦法連貫，這又讓人聯想到了一個問題，考CISSP有所謂All-in-on Bible，不知道CSSLP是否也一樣? 後來發現CSSLP真有。所以準備考試期間除了原廠教材外，另外也參考了Wm. Arthur Conklin - CSSLP Certification All-in-One Exam Guide-McGraw-Hill Education與. Auerbach Publications Official ISC2 Guide to the CSSLP CBK 兩本書。

考試過程與建議：

準備三個月上考場見識到了考題，我只能說幸好額外看了兩本書，幸好老師上課有講些偏駭客攻防的知識，幸好本身有些資安攻防技術底子，才讓我能順利作答。給未來想取得 CSSLP的學員一些建議：

如果你的背景是偏程式設計方面，就要加強對駭客攻防相關技術詞彙與手法的理解。

如果你的背景是偏攻防技術，就要補足安全程式方面的know-how

只讀原廠教材以我這次考CSSLP經驗而言是絕對不夠用的。

通過認證：CSSLP資安軟體開發專家認證課程