乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > 关于举办《软件代码审计技术》暨《代码审计工程师》(高级)网络专题培训班的通知

关于举办《软件代码审计技术》暨《代码审计工程师》(高级)网络专题培训班的通知

当前时间: 2026-04-25 06:08:18 更新时间: 2026-04-25 分类:软件教程 评论(0)

关于举办《软件代码审计技术》暨《代码审计工程师》(高级)网络专题培训班的通知

        为进一步增强国内行政、企事业单位等在软件代码审计方面的基础能力,从源头上减少系统运行可能存在的各种问题,帮助相关人员提升在系统研发过程中,带领团队系统性地发现和解决安全问题的能力,提供高效、优质的审计方法,解决各企事业单位没有相关检验人员或者检验人员没有经过专业系统化培训的现状。我会定于2026年6月线上举办《软件代码审计技术》暨《代码审计工程师》(高级)专题培训班。具体安排如下:

一、培训内容

代码审计核心理论与方法论

1、高级威胁建模与攻击面分析;

A.基于数据流的威胁建模(如STRIDE、DREAD)

B.识别微服务、API、移动端、云原生环境下的新型攻击面

C.供应链攻击分析:第三方库、依赖组件、Docker镜像

的审计方法

2、源代码深度阅读与理解技巧;

A.快速理解大型项目架构的技巧(从入口点、配置文件、

依赖注入入手)

B.关键代码路径追踪与数据流分析(正向、反向)

C.控制流分析与程序逻辑还原

3、设计层面漏洞挖掘;

A.权限绕过与访问控制设计缺陷

B.业务逻辑漏洞的模式识别(如平行越权、条件竞争、负库存)

C.加密机制的错误实现与弱随机数

代码审计流程与开发过程集成

1、安全开发生命周期SDL 

A.了解安全开发生命周期定义与目标,将安全开发理论结合到开发过程的需求分析、设计、开发编码、测试、发布、运维等阶段中

2、持续集成持续发布与代码审计结合

A.确定符合自身管理流程的持续集成持续发布机制,通过CI/CD流水线实现自动化安全检测,减少人工干预成本,将安全测试工具与持续集成持续发布工具结合。搭建一个Jenkins流水线,实现提交代码时自动进行SCA扫描和SAST扫描

3、第三方测试中的代码审计流程和质量管理

A.介绍第三方测试中代码审计实施过程

B.第三方代码审计团队流程管理、能力建设、风险控制

代码审计方法和标准

1、代码审计方法和工具介绍

A.人工审查结合工具扫描方式开展代码审计工作

B.了解常用sast工具,开源漏洞测试工具,等

C.前沿代码审计方向研究,基于形式化代码语义分析,基于大模型的代码审计

2.代码审计标准

A.OWASP代码审计规范

B.OWASP代码开发规范

C.GB/T34943、GB/T 34944、 GB/T 34946、GB/T39412代码规范

D.自定义代码审计规范

代码审计实战案例讲解

1、详细举例分析GB/T39412中常见漏洞

A.安全功能缺陷审计;

B.代码实现安全缺陷审计;

C.资源使用安全缺陷审计;

D.环境安全缺陷审计。

2、CVE-2014-0160心脏出血漏洞分析

A.介绍栈溢出、堆溢出、整数溢出、释放后使用UAF的代码级特征与审计模式。

B.实战分析CVE-2014-0160心脏出血漏洞,介绍漏洞基本信息和验证方法,通过代码审计方法从源代码中定位漏洞,分析漏洞原理,修复漏洞并验证修复效果。

3、反序列化漏洞

A.理解Java序列化机制与常见组件。审计常用库(如apache-common,Fastjson, log4j)的潜在风险。

B.实战: CVE-2021-44228 log4j反序列化漏洞。

3、系统架构选择和第三方组件审计

A.Spring Security/Shibboleth OAuth2配置审计。

B.RESTful API的批量分配、水平/垂直越权审计。

C.实战分析身份认证框架shiro CVE-2016-4437,漏洞Spring Data Commons CVE-2018-1273,介绍漏洞基本信息和验证方法,通过代码审计方法从源代码中定位漏洞,分析漏洞原理,修复漏洞并验证修复效果。

代码逆向分析与安全保护

1、逆向分析基础理论

A.编译、反编译、反汇编的概念

B.二进制文件、动态链接库、脚本语言概念。

C.加密程序运行原理

2、代码逆向方法

A.逆向分析工具,反汇编器,调试器,钩子函数与拦截工具

B.动态调试技术

C.静态反编译与代码还原

3、代码防篡改与反编译保护

A.代码加固技术,字符串加密、控制流混淆反编译防护,软件许可证保护,动态执行与沙箱环境隔离

B.安全防护方案设计,防止逆向分析的策略,安全启动与可信计算应用

二、时间地点

线上培训时间:2026年6月12日—16日(注:12号全天线上报到,13—14日直播,15-16日自由复习练习)

线上考试:2026年6月16日

三、培训对象

1、从事软件设计和开发、软件内部测试、软件第三方独立测试的技术人员和管理人员,大、中专及职业院校从事相关工作的专家、学者。

2、从事软件测试质量管理体系建设的管理和技术人员,包括有实验室认可需求的实验室、软件研发单位的内部测试机构。

四、证书颁发

培训考试合格者,由工业和信息化部教育与考试中心统一颁发《代码审计工程师》(高级)职业能力证书。

联系电话:18210093385(同微信)

联 系 人:吕洁

《软件测试技术及国家新标准应用解析》暨《软件测评工程师》职业技术网络专题培训

关于举办《数据安全风险评估工程师》(高级)网络专题培训班的通知

关于举办《软件性能测试技术与国家标准应用》暨《软件测评工程师》(高级)职业技术网络专题培训班的通知

《数据安全防护、治理及数据要素》暨《数据安全工程师》(高级)网络专题培训班的通知

关于举办数字技术工程师培育项目数字化管理师专业技术等级培训班的通知

数据安全工程技术人员(初级)专业技术等级培训班的通知