本課程涵蓋CSSLP® CBK® SDLC八大領域。課程內容不涉及特定開發技術，而是著重在如何進行安全程式開發的流程與方法。

Domain 1 安全軟體概念

L1.1 定義軟體開發的核心安全目標

L1.2 描述資訊安全三要素並解釋資訊機密性、完整性和可用性的主要機制

L1.3 描述資訊安全與資料隱私之間的關係

L1.4 辨識影響軟體安全的監管考量

L1.5 解釋安全方法如何透過存取控制減輕弱點

L1.6 描述軟體安全中多層保護的目的和功能

L1.7 描述安全文化和實踐如何影響資料隱私和安全

Domain 2 安全軟體生命週期管理

L2.1 探討軟體開發的預測性和適應性方法中的安全性

L2.2 描述將軟體安全實踐納入軟體開發生命週期過程中

L2.3 辨識DevOps和DevSecOps

L2.4 認識安全性組態標準和基準

L2.5 描述以安全為重點的組態管理過程

L2.6 確定軟體弱點和漏洞的安全標準

L2.7 解釋OWASP的軟體保證成熟模型和建立安全性成熟模型

L2.8 在DevSecOps管道中定義軟體安全里程碑和檢查點

L2.9 解釋系統安全計畫

L2.10 辨識與安全相關的文件

L2.11 辨識軟體開發中的指標

L2.12 詳細說明軟體停用政策和流程

L2.13 解釋DevSecOps中的安全性報告機制

L2.14 描述風險評估和風險管理

L2.15 審查安全運作流程的實施

L2.16 辨識容器生命週期中的安全考慮

Domain 3 安全軟體需求

L3.1 描述需求管理以及軟體安全需求的來源

L3.2 辨識功能性和非功能性需求

L3.3 解釋SCRUM/SCRUM相似方法中以安全為重的故事的影響

L3.4 描述軟體安全需求的來源

L3.5 分析安全政策及其支援元素作為內部安全需求的來源

L3.6 解釋遵循要求，並辨識法律、法規和行業標準作為外部安全需求的來源

L3.7 討論安全標準和架構

L3.8 描述資料治理和所有權

L3.9 描述資料分類以及安全標籤和標記

L3.10 辨識結構化和非結構化的資料類型

L3.11 描述資料生命週期

L3.12 辨識旨在減輕隱私風險的隱私法律和法規

L3.13 討論資料匿名化並列舉各種匿名化方法

L3.14 在隱私情境中解釋使用者同意、資料保留和資料處理

L3.15 辨識跨境資料轉移的影響以及個人資料轉移的限制

L3.16 描述使用者和軟體資料存取規定

L3.17 描述誤用和濫用案例以及它們與已知攻擊模式的相關性

L3.18 描述安全需求追蹤矩陣

L3.19 辨識第三方供應商的安全性需求

Domain 4 安全軟體架構和設計

L4.1 描述架構和相關的安全設計模式

L4.2 辨識介面設計的安全性標準

L4.3 比較並區分各種身分驗證和授權機制

L4.4 描述憑證管理

L4.5 辨識網路安全中使用的原則和工具

L4.6 描述維護資料庫安全性的方法

L4.7 辨識威脅建模的過程、工具和方法

L4.8 指出可攻擊面積評估和管理的過程

L4.9 討論威脅情報和網絡威脅資訊的來源

L4.10 描述架構風險評估的過程

L4.11 辨識非功能性安全性特性和限制

L4.12 辨識安全操作架構的考量

Domain 5 安全軟體建置

L5.1辨識安全編碼標準的特點

L5.2 描述在受控應用程式中建置安全性的不同方法

L5.3 辨識軟體中的常見缺陷以及相應的緩解策略

L5.4 解釋常見的安全開發實踐

L5.5 辨識在傳輸中和儲存中的資料保護方法

L5.6 辨識列在最常見弱點清單和資料庫中的軟體弱點

L5.7 描述軟體保證工具的功能和方法

L5.8 描述按類型和功能對控制的分類

L5.9 辨識防止常見網路應用程式弱點的控制措施

L5.10 描述制定包括軟體風險考量的安全策略的過程

L5.11 辨識使用第三方和開源組件和庫時相關的風險

L5.12 描述各種整合類別及其對軟體安全性的相關性

L5.13 描述建構自動化過程

L5.14 解釋軟體保證中使用的技術

Domain 6 安全軟體測試

L6.1 辨識常見的安全測試技術

L6.2 描述測試環境

L6.3 辨識組織的軟體安全標準和指南

L6.4 解釋群眾外包安全性和獎金計劃的好處

L6.5 辨識安全測試的指南

L6.6 辨識各種安全性測試案例

L6.7 認識建立誤用和濫用案例的重要性

L6.8 描述文件驗證和驗證

L6.9 解釋OWASP的應用程式安全驗證標準的結構和目標

L6.10 描述未記錄的功能和原始碼

L6.11 解釋測試結果的安全性影響

L6.12 區分測試結果的類型

L6.13 描述追蹤安全性缺陷的過程

L6.14 解釋風險評分系統和常見弱點評分系統

L6.15 解釋測試數據的生成以及使用生產數據的後果

L6.16 描述驗證和驗證測試的過程

Domain 7 安全軟體部署、運營、維護

L7.1在ISO 31000系列的背景下描述操作風險分析

L7.2 描述安全配置管理(SecCM)

L7.3 辨識安全持續整合和持續交付管道的元素

L7.4 解釋應用程式安全工具鏈

L7.5 辨識識別應用程式弱點的步驟

L7.6 比較和區分常見的存儲和管理安全資料的方法

L7.7 描述安全的安裝過程和方法

L7.8 釋安全的軟體啟動機制

L7.9 辨識運營授權(ATO)過程中的步驟和方法

L7.10 解釋如何執行資訊安全持續監控

L7.11 描述涉及事件應對計劃的階段

L7.12 將修補管理過程與整體軟體安全實踐相關聯

L7.13 描述用於弱點管理的方法和工具

L7.14 描述控制如何在執行階段以控制措施保護應用程式

L7.15 比較和區分業務持續性和災害復原計劃如何支援作業的連續性

L7.16 解釋並區分服務水準協議（SLA）、服務水準目標（SLO）和服務水準指標（SLI），以實現供應商的持續性

Domain 8 安全軟體供應鏈

L8.1 描述軟體供應鏈

L8.2 審查軟體供應鏈風險管理的過程

L8.3 解釋與第三方軟體相關的安全風險

L8.4 將風險與點對點應用程式和文件共享相關聯

L8.5 解釋程式碼儲存庫和環境安全

L8.6 表達具有密碼學雜湊和數位簽章的元件

L8.7 辨識軟體取得中的安全需求和原則

L8.8 詳細說明軟體取得的關鍵考慮因素

L8.9 解釋軟體取得的合約要求