# SEC11-BP01 應用程式安全訓練
<a name="sec_appsec_train_for_application_security"></a>

 為您的團隊提供安全開發和操作實務的培訓，協助他們建置安全的優質軟體。此實務可協助您的團隊在開發生命週期中提早預防、偵測和修復安全問題。請考慮提供涵蓋建立威脅模型、安全編碼實務，以及使用服務進行安全組態設定和操作的培訓。透過自助服務資源，提供培訓內容存取權給您的團隊，並定期收集他們的意見回饋以確保持續進步。

 **預期成果：**您可以從一開始就將安全性納入考量，為團隊提供設計和建置軟體所需的知識和技能。經過有關建立威脅模型和安全開發實務的培訓後，您的團隊將對潛在安全風險，以及如何在軟體開發生命週期 (SDLC) 期間減經這些風險有更深入的了解。這種主動式安全措施是團隊文化的一部分，能夠讓您及早識別和修復潛在的安全問題。因此，您的團隊可以更有效率地提供高品質、安全的軟體和功能，進而加速整體交付時間表。您在組織中擁有協作且具包容性的安全文化，並將安全擁有權與所有建置者共享。

 **常見的反模式：**
+  您等到安全審查階段，才開始考慮系統的安全屬性。
+  您將所有的安全性決定工作全部留給中央安全團隊。
+  您未在 SDLC 溝通如何做出與整體安全期待或組織政策相關的決定。
+  您太晚執行安全審查程序。

 **建立此最佳實務的優勢：**
+  可在開發生命週期初期更清楚了解組織對於安全的要求。
+  可以更快識別、修復安全問題，進而加快功能交付速度。
+  改善軟體和系統的品質。

 **未建立此最佳實務時的曝險等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 若要建置安全且高品質的軟體，請為您的團隊提供有關安全開發和操作應用程式的常見實務培訓。此實務可協助您的團隊在開發生命週期中提早預防、偵測和修復安全問題，以加速交付時間表。

 若要完成此實務，請考慮使用[建立威脅模型研討會](https://catalog.workshops.aws/threatmodel/en-US)等的 AWS 資源，訓練您的團隊建立威脅模型。建立威脅模型可以讓您的團隊從一開始就了解潛在安全風險，並從安全考量來設計系統。此外，您可以提供有關安全開發實務的 [AWS 培訓 and Certification](https://www.aws.training/LearningLibrary?filters=Language%3A1%20Domain%3A27)、產業或AWS合作夥伴培訓。如需更多設計、開發、保護和有效率地大規模操作的完整方法相關資訊，請參閱 [AWS DevOps 指引](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/devops-guidance.html)。

 明確定義和傳達組織的安全審查程序，並概述團隊、安全團隊和其他利害關係人的責任。發布展示如何達到您的安全要求的自助式指引、程式碼範例和範本。您可以使用 [AWS CloudFormation](https://aws.amazon.com/cloudformation/)、[AWS Cloud Development Kit (AWS CDK) (AWS CDK) 建構模組](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html)和 [Service Catalog](https://aws.amazon.com/servicecatalog/) 等 AWS 服務，提供預先核准的安全組態，並減少自訂設定的需求。

 定期收集團隊的安全審查程序與培訓體驗方面的意見回饋，並藉由該回饋持續改進。執行演練日或錯誤修復日活動，以識別和解決安全問題，同時增強團隊的技能。

### 實作步驟
<a name="implementation-steps"></a>

1.  **識別培訓需求**：透過調查、程式碼檢閱或與團隊成員討論，評估團隊中有關安全開發實務的目前技能水平和知識差距。

1.  **規劃培訓**：根據確定的需求建立培訓計畫，培訓範圍涵蓋建立威脅模型、安全編碼實務、安全測試和安全部署實務等相關主題。使用[建立威脅模型研討會](https://catalog.workshops.aws/threatmodel/en-US)、[AWS 培訓 and Certification](https://www.aws.training/LearningLibrary?filters=Language%3A1%20Domain%3A27)，以及產業或 AWS 合作夥伴培訓計畫等資源。

1.  **排程和交付培訓**：為您的團隊安排定期培訓課程或研討會。這些可以由講師指導或自行安排進度，端視團隊的偏好設定和可用狀況而定。鼓勵實作練習和實際範例，以強化學習。

1.  **定義安全審查程序**：與您的安全團隊和其他利害關係人合作，明確定義應用程式的安全審查程序。記錄參與程序的每個團隊或個人的責任，包括您的開發團隊、安全團隊和其他利害關係人。

1.  **建立自助式資源：**製作自助式指引、程式碼範例和範本，示範如何做才能符合組織的安全要求。考慮採用 [CloudFormation](https://aws.amazon.com/cloudformation/)、[AWS CDK 建構模組](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html)和 [Service Catalog](https://aws.amazon.com/servicecatalog/) 等 AWS 服務，提供預先核准的安全組態，並減少自訂設定的需求。

1.  **溝通和社交 **：有效地將安全審查程序和可用的自助式資源傳達給您的團隊。進行培訓課程或研討會，讓團隊成員熟悉這些資源，並確認他們了解如何使用這些資源。

1.  **收集意見回饋並改進**：定期收集團隊對於安全審查程序與培訓體驗的意見回饋。利用此回饋識別需要改進的領域，並持續改良培訓教材、自助式資源和安全審查程序。

1.  **執行安全防護演練：**安排演練日或錯誤修復日活動，以識別和解決應用程式內的安全問題。這些練習不僅有助於發現潛在的漏洞，同時也為您的團隊提供實際的學習機會，增強他們在安全開發和操作方面的技能。

1.  **持續學習和改進：**鼓勵您的團隊掌握最新的安全開發實務、工具和技術。定期審查和更新您的培訓教材和資源，以反映不斷變化的資安情勢和最佳實務。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [SEC11-BP08 打造在工作負載團隊中納入安全所有權的計畫](sec_appsec_build_program_that_embeds_security_ownership_in_teams.md) 

 **相關文件：**
+  [AWS 培訓 和認證](https://www.aws.training/LearningLibrary?query=&filters=Language%3A1%20Domain%3A27&from=0&size=15&sort=_score&trk=el_a134p000007C9OtAAK&trkCampaign=GLBL-FY21-TRAINCERT-800-Security&sc_channel=el&sc_campaign=GLBL-FY21-TRAINCERT-800-Security-Blog&sc_outcome=Training_and_Certification&sc_geo=mult) 
+  [如何思考雲端安全管控](https://aws.amazon.com/blogs/security/how-to-think-about-cloud-security-governance/) 
+  [如何建立威脅模型](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) 
+  [加速訓練 – AWS 技能培養](https://docs.aws.amazon.com/whitepapers/latest/public-sector-cloud-transformation/accelerating-training-the-aws-skills-guild.html) 
+  [AWS DevOps Sagas](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/the-devops-sagas.html) 

 **相關影片：**
+  [預防性安全：考量與方法](https://www.youtube.com/watch?v=CBrUE6Qwfag) 

 **相關範例：**
+  [威脅建模相關的研討會](https://catalog.workshops.aws/threatmodel) 
+  [開發人員的產業認知](https://owasp.org/www-project-top-ten/) 

 **相關服務：**
+  [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 
+  [AWS Cloud Development Kit (AWS CDK) (AWS CDK) 建構模組](https://docs.aws.amazon.com/cdk/v2/guide/constructs.html) 
+  [Service Catalog](https://aws.amazon.com/servicecatalog/)