セキュア ソフトウェア開発：検証、専門的トピック

現代のソフトウェアは常に攻撃を受けていますが、多くのソフトウェア開発者は、それらの攻撃に効果的に対処する方法を教わったことがありません。このコースでは、この問題を解決するために、セキュアなソフトウェアを開発するための基本的な知識を解説します。このコースは、ソフトウェア開発者、DevOpsプロフェッショナル、ソフトウェア技術者、Webアプリケーション開発者、およびセキュアなソフトウェアの開発方法を学ぶことに関心のある人を対象としており、情報セキュリティを改善するために、限られたリソースでも実行可能な実践的なステップに重点を置いています。このコースでは、ソフトウェア開発者が、攻撃を成功させるのが格段に難しいシステムを開発し、維持すること、攻撃が成功した場合の被害を減らすこと、潜在的な脆弱性を速やかに修復できるよう対応を迅速化することができるようになることを目指します。

このコースでは、ソフトウェアのセキュリティを検証する方法について説明します。特に、様々な静的解析および動的解析の手法と、その適用方法（継続的インテグレーション パイプラインでの適用など）について説明します。また、脅威モデルの開発方法の基本や、様々な 暗号機能の適用方法など、より専門的なトピックについても説明します。

このコースは、「セキュア ソフトウェア開発の基礎」のプロフェッショナル認定プログラムの3つのコースのうちの3つ目のコースで、オープンソースのエコシステムのセキュリティにフォーカスしたLinux FoundationのプロジェクトであるOpen Source Security Foundation（OpenSSF）によって開発されたものです。このプログラムに含まれるトレーニングコースは、最も一般的な種類の攻撃に対処するために、（開発者として）あなたが取ることができる実践的なステップに重点を置いています。

• ようこそ！

• 第１章 検証（検証の基礎、静的解析、ソフトウェア構成解析 - SCA/依存性解析、動的解析、その他の検証トピック - 検証手法の組み合わせ）

• 第２章 脅威モデリング

• 第３章 暗号（対称／共有鍵暗号化、暗号学的ハッシュ（デジタル フィンガープリント）、公開鍵（非対称）暗号化、暗号論的擬似乱数生成器（CSPRNG）、パスワードを安全に保存する方法、トランスポート レイヤー セキュリティ（TLS）、暗号に関するその他のトピック）

• 第４章 その他のトピック（脆弱性の開示、アシュアランス ケース、配布、フィールディング/デプロイ、運用、廃棄、形式手法、トップ脆弱性リスト）

• 最終問題（ベリファイドトラックのみ）