# SEC11-BP01 應用程式安全訓練
<a name="sec_appsec_train_for_application_security"></a>

 提供可讓組織內建置人員接受安全開發和操作應用程式等常見實務的訓練。採用著重安全的開發方法，有助於減少只能在安全審查階段偵測到問題的可能性。 

**預期成果：** 軟體的設計與建置應考慮安全層面。組織中的建置人員如果接受過從威脅模型開始的安全開發方法訓練，其所生產軟體的整體品質與安全都能獲得改善。這種方法能縮短遞送軟體或功能所花費的時間，因為其必須在安全審查階段之後重新作業的機率較低。

 就這項最佳實務的目的而言，*安全開發*與所編寫的軟體，以及支援軟體開發生命週期 (SDLC) 的工具或系統相關。 

**常見的反模式：**
+  一直等到安全審查階段，才開始考慮系統的安全屬性。 
+  將所有的安全性決定工作全部留給安全團隊。 
+  未在 SDLC 溝通如何做出與整體安全期待或組織政策相關的決定。 
+  太晚參與安全審查程序。 

**建立此最佳實務的優勢：**
+  可在開發生命週期初期更清楚了解組織對於安全的要求。 
+  可以更快識別、修復安全問題，進而加快功能交付速度。 
+  改善軟體和系統的品質。 

**未建立此最佳實務時的風險暴露等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 提供組織內建置人員的訓練。一開始上[威脅模型](https://catalog.workshops.aws/threatmodel/en-US)相關課程，有助於奠定安全訓練的良好基礎。理想狀況下，建置人員應該能夠自助存取與其各自工作負載相關的資訊。這種存取能協助人員做出有關建置中系統安全屬性的明智決策，而不需要詢問其他團隊。參與安全團隊進行審查的程序應該清楚定義，並能輕鬆實施。在審查程序中的步驟則應納入安全訓練當中。如果有已知的實作模式或範本，則其應可輕鬆找出，且連結至整體安全需求。考慮使用 [AWS CloudFormation、](https://aws.amazon.com/cloudformation/) [AWS Cloud Development Kit (AWS CDK) 建構模組](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html)、[Service Catalog](https://aws.amazon.com/servicecatalog/)，或者其他的範本工具，以便降低自訂組態的需求。

### 實作步驟
<a name="implementation-steps"></a>
+  一開始安排建置人員上[威脅模型](https://catalog.workshops.aws/threatmodel/en-US)相關課程，奠定良好基礎，並有助於進行考量安全層面的訓練。 
+  提供存取 [AWS 培訓 和認證](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult)、產業，或 AWS 合作夥伴訓練的權限。 
+  提供有關組織安全審查程序的培訓，明確劃分安全團隊、工作負載團隊和其他相關人員之間的責任分配。 
+  發布關於如何達到您的安全要求的自助式指南，包含程式碼片段和範本（如有提供）。 
+  定期取得建置人員團隊安全審查程序與訓練體驗方面的意見回饋，並使用該意見回饋進行改善。 
+  使用演練日或錯誤修復日活動，協助減少問題數量，並提升建置人員的技能水平。 

## 資源
<a name="resources"></a>

 **相關的最佳實務：** 
+  [SEC11-BP08 打造在工作負載團隊中納入安全所有權的計劃](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md) 

 **相關文件：** 
+  [AWS 培訓 和認證](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult) 
+  [如何思考雲端安全管控](https://aws.amazon.com/blogs/security/how-to-think-about-cloud-security-governance/) 
+  [如何建立威脅模型](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) 
+  [加速訓練 – AWS 技能培養](https://docs.aws.amazon.com/whitepapers/latest/public-sector-cloud-transformation/accelerating-training-the-aws-skills-guild.html) 

 **相關影片：** 
+  [預防性安全：考量與方法](https://www.youtube.com/watch?v=CBrUE6Qwfag) 

 **相關範例：** 
+  [威脅模型相關的研討會](https://catalog.workshops.aws/threatmodel) 
+  [開發人員的產業認知](https://owasp.org/www-project-top-ten/) 

 **相關服務：** 
+  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
+  [AWS Cloud Development Kit (AWS CDK) (AWS CDK) 建構模組](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html) 
+  [Service Catalog](https://aws.amazon.com/servicecatalog/) 
+  [AWS 錯誤大集合](https://docs.aws.amazon.com/codeguru/latest/bugbust-ug/what-is-aws-bugbust.html)