淺談網絡安全體系下的軟件安全開發人才培養

王頡 王厚奎 鄭明 萬振華

摘? ?要：軟件安全開發是近年來我國網信行業積極實踐的網絡安全保障措施，旨在軟件系統開發過程中降低安全漏洞的存在。然而，軟件安全開發人才匱乏是當前實踐面臨的關鍵問題。文章依據行業有關軟件安全開發人員崗位和技能的典型要求，介紹在當前網絡安全體系下培養軟件安全開發人才的關鍵思路和核心內容，最后說明在軟件安全開發人才培養方面獲得的初步成效。

關鍵詞：軟件安全開發;軟件安全開發生命周期;人才培養

Abstract： In recent years， software secure development is actively practiced in China's network and information industry as a network security assurance method. It is aiming to reduce the existence of security vulnerabilities in the software development process. However， the shortage of secure software developer is the vital problem for practices. According to the typical requirements of software secure developers' job positions and skill requirements from the industry， this paper presents the key ideas and core contents of software secure development talent cultivation under the circumstances network security system， then， we describes the initially obtained results.

Key words： software secure development; secure software development lifecycle; talent cultivation

1 引言

近年來，隨著國家對網絡安全的高度重視，軟件開發過程中的安全保障正成為網信行業關注的熱點。在2019年12月1日正式實施的《網絡安全等級保護條例2.0》中，對軟件“自行開發”和“外包開發”也提出了明確的安全要求。作為軟件開發過程中安全保障的行業最佳實踐流程，“軟件安全開發生命周期（S-SDLC或SDL）”正逐漸被我國金融、能源、互聯網等關鍵信息基礎設施行業實踐。通過S-SDLC，相關單位能夠在軟件系統開發過程中管控軟件研發流程、減少軟件安全漏洞、降低軟件安全威脅，從而提升軟件質量，并能夠大幅地降低因軟件系統漏洞被黑客利用而造成網絡安全事件發生的可能性。

為了做好S-SDLC的落地實踐，相關單位往往需要從軟件安全開發的制度要求、開發流程、工具配置和人員配備等多方面做好保障工作。然而，普遍現象是軟件開發人員缺乏軟件安全開發技能，網絡安全人員不參與軟件開發過程，大部分單位不具備專業的軟件安全開發人員。……