ISTQB CT-STE

描述

ISTQB® 认证安全测试工程师可以:

• 理解基本的安全范式及其对安全测试的影响。
• 应用适当的安全测试技术，了解其优缺点。
• 参与安全测试的计划、设计和执行。
• 有效利用安全测试标准和最佳实践。
• 根据特定的组织环境调整安全测试活动。
• 将安全测试与不同的开发方法和软件开发生命周期对齐。
• 将安全测试结果整合到信息安全管理系统（ISMS）中，以便进行主动风险管理。
• 收集、评估和整合测试结果，生成包含所有发现和证据的详细报告。
• 确定安全测试工具需求，并根据所需方法协助选择合适的工具。

第1章：安全范式

• 资产安全级别
  • 解释不同资产的安全级别及其相应的保护级别。
  • 解释信息敏感性与安全测试之间的关系。
• 安全审计
  • 描述安全测试在安全审计中的作用。
• 零信任概念
  • 解释零信任的概念。
  • 在安全测试中应用零信任概念。
• 开源软件
  • 举例说明在软件开发中使用开源软件（OSS）及其对安全测试的影响。

第2章：安全测试技术

• 根据测试背景应用安全测试类型
  • 举例说明根据黑盒、灰盒或白盒安全测试背景的安全测试类型。
  • 举例说明动态安全测试或静态安全测试的安全测试类型。
• 根据项目和技术背景应用安全测试类型
  • 根据给定的安全测试方法，应用安全测试用例，同时识别功能性和结构性安全风险。
  • 描述如何进行身份和权限的再认证测试及对账测试。
  • 描述如何测试身份和访问管理控制。
  • 描述如何测试数据保护控制。
  • 描述如何测试保护技术。

第3章：安全测试过程

• 安全测试过程
  • 解释安全测试过程中的不同活动、任务和职责。
  • 理解有效的安全测试环境的关键元素和特征。
• 设计安全测试
  • 举例说明根据给定代码库进行组件级别的安全测试。
  • 举例说明根据设计规范进行组件集成级别的安全测试。
  • 实施端到端的安全测试，验证与一个或多个业务流程相关的一个或多个安全需求。

第4章：标准和最佳实践

• 引入标准和最佳实践
  • 解释不同的测试标准和最佳实践来源及其适用性。
• 应用必要的安全测试标准和最佳实践
  • 应用OWASP、CVE和CVSS的概念，并学习如何利用它们进行安全测试。
• 利用标准和最佳实践
  • 解释用于安全测试的测试神谕的优缺点。
  • 理解使用安全最佳实践和标准的优缺点。

第5章：适应组织环境

• 组织结构在安全测试中的影响
  • 分析给定的组织环境，并确定需要考虑的安全测试方面。
• 法规对安全政策的影响及如何进行测试
  • 分析法规对安全政策的影响并说明如何测试这些政策。
• 分析攻击场景
  • 分析攻击场景（已执行和已发现的攻击），并识别攻击的可能来源和动机。

第6章：适应软件开发生命周期模型

• 不同软件开发生命周期模型的影响
  • 总结为什么安全测试活动应覆盖整个软件开发生命周期。
  • 分析不同的系统开发模型如何影响安全测试活动。
• 维护期间的安全测试
  • 定义并执行基于系统变更的安全回归测试和确认测试。
  • 分析安全测试结果以确定安全漏洞的性质及其潜在的技术影响。

第7章：作为信息安全管理系统的一部分的安全测试

• 安全测试的验收标准
  • 理解安全测试的验收标准以及这些标准如何影响选择安全测试方法和测试技术。
• 信息安全管理系统的输入
  • 理解安全测试在有效信息安全管理系统中的作用。
• 通过调整安全测试改进信息安全管理系统
  • 通过引入不同的测试方法、新的测试对象或改进的覆盖范围来评估ISMS的成熟度。
  • 理解ISMS中的可衡量性。

第8章：报告测试结果

• 安全测试报告
  • 理解安全测试结果的重要性以及如何处理和沟通这些结果。
• 识别和分析漏洞
  • 评估给定的安全测试结果，识别安全漏洞。
• 关闭漏洞
  • 评估不同的技术来关闭已识别的漏洞。

第9章：安全测试工具

• 安全测试工具的分类
  • 分析不同的使用案例，并应用安全测试工具的分类。
• 选择安全测试工具
• 理解动态安全测试工具的使用和概念。
• 理解静态安全测试工具的使用和概念。