Software Development Security
"Softwareontwikkelingsbeveiliging" (Software Development Security). Dit domein richt zich op het inbedden van beveiligingsprincipes en -praktijken in de softwareontwikkelingscyclus (SDLC) om veilige applicaties en systemen te ontwerpen, ontwikkelen, implementeren en onderhouden.
Enkele kernpunten van Domein 8 zijn:
- Beveiliging in het ontwikkelingsproces: Dit onderwerp behandelt het belang van het integreren van beveiligingsaspecten in de verschillende fasen van de SDLC, zoals planning, ontwerp, ontwikkeling, testen, implementatie en onderhoud. Dit omvat het gebruik van beveiligingsmodellen, frameworks en best practices, zoals OWASP Top Ten en Secure Software Development Life Cycle (S-SDLC).
- Beveiligingsprincipes in softwareontwerp: Hier leer je over de belangrijkste beveiligingsprincipes die moeten worden toegepast bij het ontwerpen van software, zoals het principle of least privilege, defense in depth, fail-safe defaults en separation of duties. Dit omvat ook beveiligingsontwerppatronen en -architecturen, zoals tiered architecture en microservices.
- Beveiliging van codering en programmering: In dit onderdeel verdiep je je in de methoden en technieken om veilige code te schrijven en veelvoorkomende beveiligingsproblemen te voorkomen, zoals bufferoverflows, SQL-injectie, cross-site scripting (XSS) en cross-site request forgery (CSRF). Dit omvat het gebruik van beveiligde programmeerpraktijken, code-analyse en het beheren van open-source componenten.
- Testen en validatie van softwarebeveiliging: Dit onderwerp behandelt het belang van het uitvoeren van beveiligingstests en -validatie om kwetsbaarheden en risico's in software te identificeren en te verhelpen. Dit omvat het gebruik van penetratietesten, statische en dynamische code-analyse, fuzz testing en andere beveiligingstestmethoden.
- Malware en softwarebedreigingen: Hier leer je over de verschillende soorten malware en softwarebedreigingen, zoals virussen, wormen, Trojaanse paarden, ransomware en Advanced Persistent Threats (APTs), en hoe je deze bedreigingen kunt identificeren, voorkomen en bestrijden.
- Beveiliging van applicaties en systemen: In dit onderdeel leer je over de technieken en best practices voor het beveiligen van applicaties en systemen, zoals toegangscontrole, encryptie, inputvalidatie, logging en monitoring, patchbeheer en beveiligingsconfiguratie.
Domein 8 is een belangrijk onderdeel van het CISSP-examen, omdat het helpt om de vaardigheden en kennis te ontwikkelen die nodig zijn om effectieve softwareontwikkelingsbeveiliging te waarborgen. Het beheersen van deze concepten is essentieel om de vertrouwelijkheid, integriteit en beschikbaarheid van applicaties en systemen in een organisatie te waarborgen.