0x00 前言

軟件開發團隊的所有成員都必須接受適當的培訓，了解安全基礎知識以及安全和隱私方面的最新趨勢。直接參與軟件程序開發的技術角色人員（開發人員、測試人員和程序經理）每年必須參加至少一門特有的安全培訓課程。

這個是微軟針對安全培訓的一系列要求，實際上不管是不是要做SDL落地，作為一個公司的安全團隊都應該定期的做安全培訓，有自己的內部可公開wiki，以及最基礎的安全準則。本文脫胎于網上資料，以及一些個人想法。安全培訓不僅僅是作為SDL實施前要做的事情，也是安全做一個最基礎的普及。

微軟的落地實施方案是將培訓分為基礎版，以及進階版。并且圍繞著安全以及隱私這兩個話題來進行展開。文中的內容僅做參考，不做任何依據。

0x01 培訓目的

目前能想到的點：

• 避免因為安全意識和常見安全問題導致公司利益受損，數據丟失，承擔各種風險
• 避免因為安全意識和常見安全問題導致的工作效率滯后，問題處理困難，工作反復等
• 為SDL落地提供技術幫助
• 賦能，人人懂安全，人人為安全負責（DevSecOps）
• 初步證明安全的價值所在

因為上述緣由，在網上找到的最為認可的三個方面是：

• 安全意識
• 安全規范/制度
• 安全技能

制度或者說是規范是可以有一個標準形式的存在，但是安全意識以及安全技能則需要針對不同的人員，對比職能、崗位、工作來進行區分培訓。

0x02 培訓內容

1.基礎安全意識培訓

1.1 主要目的

• 提高整體安全水平，規避常見社工問題，以及密碼相關安全問題
• 意識到網絡安全的重要性，意識到網絡攻擊帶來的危害

1.1 介入時間節點&方式：

• 入職培訓
• 定期分部門進行培訓宣講
• 安全宣語，資金充足可制作周邊宣傳
• 安全演習
  • 釣魚演練
  • 社工模擬
• 公司內部證書&內部學習積分獎勵
• 建立公開wiki，隨時看隨時查

1.2 針對人員

• 新入職員工
• 對安全了解少，意識薄弱的所有公司員工

1.3 培訓內容

2.安全規范/制度

此規范和制度，應該在公司領導層的認可下，進行研討和發布，不能僅僅通過培訓來進行下發，只有將安全規范和制度融入到公司制度中，才可擁有一定的限制力和約束力。

安全技術方面的內容，之后慢慢補充，一時半會兒搞不定了= =

3.安全技術

3.1 WEB安全開發

3.2 培訓內容

• owsp top10
• 對應程序的安全編碼規范

3.2 APP安全開發

• Mobil Top10

3.3 運維

3.4 測試

3.5 產品經理

3.6 客戶服務

總結

以上是生活随笔為你收集整理的SDL—安全培训的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。