CISSP考试指南笔记：8.15 快速提示

中国教育在线 | 2022-06-01

在系统开发的每个阶段都应解决安全问题。不应仅在开发结束时才解决它，因为增加了成本，时间和精力以及缺乏功能。
攻击面是攻击者可能的入口点的集合。此表面的减少减少了攻击者利用系统的可能方式。
威胁建模是一种系统化的方法，用于了解如何实现不同的威胁以及如何成功进行妥协。
计算机辅助软件工程是指允许软件自动化开发的任何类型的软件，其形式可以是程序编辑器，调试器，代码分析器，版本控制机制等。目标是提高开发速度和生产力，并减少错误。
在开发过程中应执行各种级别的测试：单元（测试单个组件）、集成（验证组件在生产环境中协同工作）、验收（确保代码满足客户要求）、回归（发生更改后的测试）、静态分析（审查编程代码）和动态分析（在执行期间审查代码）。
模糊测试是向目标程序发送随机数据以触发故障的行为。
零日漏洞是当前没有解决方案或解决方案的漏洞。
ISO/IEC 27034 标准涵盖以下项目：应用程序安全概述和概念、组织规范框架、应用程序安全管理流程、协议和应用程序安全控制数据结构、案例研究以及应用程序安全保证预测。
开放 Web 应用程序安全项目（OWASP）是一个致力于帮助行业开发更安全软件的组织。
集成产品团队（IPT）是一个多学科开发团队，由来自许多或所有利益相关者群体的代表组成。
CMMI 模型使用由数字 1 到 5 指定的五个成熟度级别。每个级别表示过程质量和优化的成熟度级别。这些级别按如下方式组织：1 = 初始，2 = 可重复，3 = 已定义，4 = 托管，5 = 5 优化。
CMMI（能力成熟度模型集成）是一种流程改进方法，为组织提供有效流程的基本要素，从而提高其绩效。
变更管理是一种系统化的方法，用于有意识地规范项目不断变化的性质。变更控制是变更管理的一个子部分，涉及控制对系统的特定变更。