夜雨聆风
关于举办“软件代码审计师”培训班的通知
各相关单位:
为帮助企事业单位相关人员了解软件测试的具体要求及软件检验技巧,提升相关企业在软件检测方面的能力,从源头上减少系统运行可能存在的各种问题,工业和信息化部电子工业标准化研究院定于2026年3月在线上举办“软件代码审计师”专题培训班。具体安排如下:
一、培训对象
从事软件测试质量管理体系建设的管理和技术人员,包括有实验室认可需求的实验室、软件研发单位的内部测试机构与从事软件设计和开发、软件内部测试、软件第三方独立测试的技术人员和管理人员,大、专及职业院校从事相关工作的专家、学者。
二、培训形式、时间和地点
培训形式:线上
培训时间:2026年3月26—28日(26日全天线上报到)
培训地点:小鹅通平台
三、培训内容
(一)代码审计基础
1.代码审计的概念;
2.代码审计的标准;
(1)国标,GB/T34943,GB/T34944,GB/T34946,misra,GJB-8114
(2)企业标准,OWASP,阿里java安全编码规范
(3)工具规则,find-sec-bug、fortify
(二)安全准备知识
1.漏洞信息发布平台及内容:(国家漏洞共享平台、厂商漏洞平台、开源社区、安全机构);
2.漏洞类型和等级:GB/T 30279-2020 网络安全漏洞分类分级指南、CWE分类;
3.漏洞实验环境搭建:虚拟化技术环境、漏洞调试方法、POC/EXP漏洞利用脚本编写。
(三)SDL安全开发生命周期
1.安全原则、规则及规章
2.安全需求;
3.架构、设计评审和威胁建模;
4.安全的编码规则;
5.软件安全测试。
(四)代码审计工具
1.第1代 正则匹配方式识别代码缺陷;find-sec-bug
2.第2代 控制流、数据流分析工具;Fortify
3.第3代 动静结合的分析技术,无误报或低漏报,需要模拟执行;
4.第4代人工智能代码检测工具,通过对智能模型训练,学习大量漏洞特征,完成智能的代码审计,如chatGPT。
(五)代码审计案例
1.基于C的静态代码分析和代码审查;
2.基于java的代码审计。
四、证书颁发
培训考试合格者,由工业和信息化部电子工业标准化研究院统一颁发《软件代码审计师》专业人员培训证书。证书查询网址:www.cesi.cn。
五、培训费用
培训费用:3800元/人/班(含培训、考试、师资、证书及快递等费用)。
