各有关单位：  

为进一步增强国内行政、企事业单位等在软件检测方面的基础能力，从源头上减少系统运行可能存在的各种问题，帮助相关人员了解软件测试中的具体要求及软件检验技巧，提升各相关单位的应变能力，培养软件测评技术高级人才，提供高效、优质的测试方法，解决各企事业单位没有相关检验人员或者检验人员没有经过专业系统化培训的现状。我会定于4月线上举办《软件代码审计技术》暨《代码审计工程师》专题培训班。具体安排如下：

一、培训内容

代码审计基础

1、代码审计的概念；

2、代码审计的标准；

A.国标，GB/T34943，GB/T34944，GB/T34946，misra， GJB-8114

B.企业标准，OWASP，阿里java安全编码规范

C.工具规则，find-sec-bug、fortify

安全准备知识

1、漏洞信息发布平台及内容：（国家漏洞共享平台、厂

商漏洞平台、开源社区、安全机构）

2、漏洞类型和等级：GB/T 30279-2020 网络安全漏洞分类分级指南、CWE分类

3、漏洞实验环境搭建：虚拟化技术环境、漏洞调试方法、POC/EXP漏洞利用脚本编写

SDL安全开发生命周期

1、安全原则、规则及规章

2、安全需求；

3、架构、设计评审和威胁建模；

4、安全的编码规则；

5、软件安全测试。

代码审计工具

1、第1代 正则匹配方式识别代码缺陷；find-sec-bug

2、第2代 控制流、数据流分析工具；Fortify

3、第3代 动静结合的分析技术，无误报或低漏报，需

要模拟执行；

4、第4代人工智能代码检测工具，通过对智能模型训练，学习大量漏洞特征，完成智能的代码审计，如chatGPT。

代码审计案例

1、基于C的静态代码分析和代码审查；

2、基于java的代码审计。

目标码审计方法

二、时间地点

线上培训时间：2024年4月25日—28日（注：25号全天线上报到，不上课，4月26—27日直播，28日自由复习）

线上考试：2024年4月28日

三、培训对象

1、从事软件设计和开发、软件内部测试、软件第三方独立测试的技术人员和管理人员，大、中专及职业院校从事相关工作的专家、学者。

2、从事软件测试质量管理体系建设的管理和技术人员，包括有实验室认可需求的实验室、软件研发单位的内部测试机构。

四、证书颁发

培训考试合格者，由工业和信息化部教育与考试中心统一颁发《代码审计工程师》（中级）职业能力证书。

五、培训费用

培训费：3800元/人/班。

六、报名须知

请参加培训班的学员认真填写报名回执表，以电话、传真及邮件的方式反馈至我部。会务组接到信息后会提前邮寄教材，此次学习会务工作由北京中标服检验技术研究院有限公司联合承办。

联系电话：010-68699678  

联 系 人：张老师