你会学到什么
• 安全基础：了解风险管理、“CIA”三元组和要求。
• 安全设计原则：讨论“最小权限”等原则以及如何应用这些原则。
• 供应链评估：了解有关如何选择要重用的包以及如何重用它们的技巧，以便您可以快速收到警报和更新软件。
• 实现：了解如何实现更安全的软件（如何进行输入验证、安全地处理数据、调用其他程序和发送输出）和更专业的方法（例如密码学和处理问题的基础知识）。
• 安全验证：了解如何检查软件，包括一些关键工具类型，如何在持续集成（CI）中应用它们。
• Fielding：了解如何部署和操作安全软件、处理漏洞报告以及如何在重用组件存在已知漏洞时快速更新。
• 了解如何安全地使用和开发开源软件。

项目概述
今天几乎所有的软件都受到攻击，许多组织在防御时毫无准备。这一专业证书计划由开源安全基金会（OpenSSF）开发，是Linux基金会的一个项目，面向软件开发人员、运营模式专业人员、软件工程师、Web应用程序开发人员和其他有兴趣学习如何开发安全软件的人，重点关注即使在资源有限的情况下也可以采取的实际步骤来提高信息安全。该计划使软件开发人员能够创建和维护更难成功攻击的系统，减少攻击成功时的损害，并加快响应速度，以便快速修复任何潜在的漏洞。课程中涵盖的最佳实践适用于所有软件开发人员，其中包括对使用或开发开源软件的人特别有用的信息。
该程序讨论了风险和要求、设计原则以及评估代码（如包）以供重用。然后它侧重于关键的实现问题：输入验证（例如为什么应该使用允许列表而不是拒绝列表）、安全地处理数据、调用其他程序、发送输出、密码学、错误处理和事件响应。随后讨论了各种验证问题，包括测试，包括安全测试和渗透测试，以及安全工具。它以关于部署和处理漏洞报告的讨论结束。
该计划中包含的培训课程侧重于您（作为开发人员）可以采取的实际步骤来对抗最常见的攻击类型。它不关注如何攻击系统、攻击如何工作或长期研究。
现代软件开发依赖于开源软件，开源现在在数据中心、消费设备和服务中无处不在。重要的是，负责网络安全的人能够理解和验证开源贡献者和依赖关系链的安全性。由于OpenSSF的参与，这是一个跨行业的合作，汇集了领导者，通过建立更广泛的社区、有针对性的计划和最佳实践来提高开源软件的安全性，该计划提供了如何安全地使用和开发开源的具体提示。

本计划的课程
1. LinuxFoundationX的安全软件开发基础专业证书
2. 安全软件开发：需求、设计和重用
每周1-2小时，共7周
了解允许您开发针对攻击的软件的安全基础知识，并了解如何在漏洞被利用时减少损害并加快响应速度。
3. 安全软件开发：实施
每周1-2小时，共7周
了解软件开发人员可以采取的实际步骤，即使他们的资源有限，也可以实施安全软件。
4. 安全软件开发：验证和更专业的主题
每周1-2小时，共7周
了解如何验证软件的安全性，并更深入地了解应用威胁模型和密码学的基础知识。
5. 就业展望
o 在接受2020年开源工作报告调查的技术招聘经理中，48%表示招聘具有安全专业知识的专业人士是重中之重。
o 根据Zip招聘人员2020年9月25日的数据，安全软件开发人员的收入比美国全国平均水平的软件开发人员高出35%。
o 美国劳工统计局报告称，从2019年到2029年，信息安全分析师的就业人数预计将增长31%，远高于所有职业的平均水平，也高于软件开发人员的总体增长（22%）。
o 根据ESG和ISSA在2020年7月进行的一项研究，70%的受访者声称他们的组织受到了全球网络安全技能短缺的重大或部分影响。