有越來越多的資安事件是因為不安全的應用程式所造成的,為了提升軟體開發的安全性,許多廠商在整個軟體開發的過程中,越來越看重SDLC(Software Develop Lifecycle,軟體開發生命周期)。 資安教育與認證組織(ISC)2近期則針對應用程式開發的安全性,推出一張新型態的軟體安全開發的證照CSSLP(軟體安全開發專家認證),將於2009年第一季推出第一期培訓班,明年6月底進行第一次考試,即日起到2009年3月底止,接受有經驗的資安工作者報名CSSLP的第一次考試。
有越來越多軟體和資安廠商,例如微軟、賽門鐵克與思科(Cisco)等廠商,都已經深刻理解到,CISSP考題下載,不安全的軟體開發這個環節,將可能因為一個開發上的小錯誤,而讓整個系統門戶洞開。為了杜絕相關軟體開發工程師在軟體設計、開發之初,因為沒有遵守一定的安全程式軟體開發生命周期的法則,忽略許多軟體開發應注意、未注意的細節,而導致應用程式有疏漏,(ISC)2日前便針對相關開發人員,推出第一個應用程式開發安全性的軟體安全開發專家認證CSSLP。
根據Gartner在2005年的研究資料,超過70%的安全漏洞問題存在於應用層,對全世界的用戶造成了嚴重且直接的威脅。(ISC)2亞太區公關經理鍾嘉儀引述(ISC)2總幹事 W. Hord Tipton說法表示,「缺乏安全防護的軟體不僅對企業是一個威脅,同時也會增加生產成本,延緩軟體開發,另外,還使終端用戶不得不安排額外人員來維護軟體。」所以,(ISC)2透過CSSLP認證,讓開發人員能遵循一定的安全開發原則,減少軟體開發疏漏所衍生的訴訟風險,以及能更妥善地遵守行業和政府有關法規遵循等關鍵因素。W. Hord Tipton指出,「推出CSSLP認證主要是希望能透過制定最佳實務(Best Practice),以及針對個別人員在整個軟體開發生命周期(SDLC)中,解決安全問題的能力給予資格認證,」藉此為開發人員開發能力把關。