《安全编码技术》课程教学大纲

1、安全编码技术课程教学大纲课程编号：081371272课程名称：安全编码技术英文名称：Security Coding Technology课程类型：学科专业课课程要求：选修学时/学分：32/2（讲课学时：20 实验学时：12）适用专业：软件工程一、课程性质与任务“安全编码技术”是软件工程专业信息安全方向的选修课程，是信息安全学科中的重要技术基础。本课程主要研究源代码的安全性，源代码的安全原则，以及编码安全漏洞测试方法等。对提高学生信息安全工程实践能力有重要作用。课程的任务是通过教学，使学生能够理解最基本的代码安全、代码生命周期等基本原则，并能够运用这些概念和基本理论，对软件安全问题进行模拟。通过

2、本课程学习，使学生能够将安全编码技术用于解决网络安全的工程问题；将编码安全漏洞测试方法用于软件设计过程，分析实验中出现问题，提高解决信息安全工程中安全编码的能力。二、课程与其他课程的联系先修课有：信息安全导论。后续课程：信息安全应用案例分析、信息安全综合实践。 “信息安全导论”课程中安全技术和手段为本课程实现安全编码提供技术支撑。本课程为后续课程的学习提供安全编码基础，为“信息安全应用案例分析”及“信息安全综合实践”课程中网络攻防技术、系统安全检测技术、计算机病毒原理与防范及安全管理等内容的实现提供安全代码编写技术支持。三、课程教学目标1.理解最基本的代码安全、代码生命周期等原则，用于解决计算

3、机网络安全工程问题；掌握编码安全分析的基本应用，能够自觉运用基本知识，并对其中的常见问题进行分析，以获得有效的结论。（支持毕业能力要求1、2）2.掌握编写安全的代码的方法，能够运用所学知识对代码安全问题进行分析，设计出解决问题的方案，能够运用安全编码技术进行软件编码实践。（支持毕业能力要求3）3.了解编码安全的最基本概念和理论知识，了解安全生命周期的基本知识，掌握编码安全漏洞测试方法，能够进行基本的安全漏洞测试与数据管理。（支持毕业能力要求4、5）4.在实践过程中，使学生具有社会责任感，能够在工程实践中理解并遵守工程职业道德和规范。（支持毕业能力要求8）四、教学内容、基本要求与学时分配序号教学

4、内容教学要求学时教学方式对应课程教学目标一、软件安全问题1.软件安全概述2.思想的误区3.功能的误区4.质量的误区5.漏洞分类1.能够说明软件安全问题。2.能够说明编码安全的误区。3.能够对漏洞进行基本分类。4.能够运用相关概念对软件问题进行分析。3讲授二、安全生命周期1.软件安全成熟度模型2.软件实践的资源3.度量标准的重要性1.能够说明软件安全生命周期的概念。2.能够设计软件安全成熟度模型。3.能够描述软件生命周期标准。4.能够将安全生命周期应用在软件安全设计中。3讲授13三、编码安全需求分析1.概述2.核心软件安全需求3.通用软件安全需求4.运维安全需求5.其他安全需求6.软件安全需求获

5、取方法7.软件安全需求跟踪矩阵1.能够阐述编码需求分析基本概念。2.能够掌握软件安全需求种类。3.能够使用软件安全需求分析方法。4.能够通过编码安全需求分析对需求跟踪矩阵进行正确设计。3讲授14四、安全保障设计1.软件安全设计的概念与原则2.属性驱动的软件安全设计3.软件安全架构设计4.基于核心安全需求的软件安全设计5.其他安全需求设计6.软件安全技术安全架构与设计检查1.能够掌握软件安全设计的概念与基本原则。2.能够进行简单的软件安全架构设计。3.能够运用基本概念进行软件安全设计。4.能够对软件安全架构与设计进行简单检查。3讲授25五、编写安全的代码1.常见软件漏洞类型分析与防御方法2.软件

6、安全编码实践3.软件安全编码保证过程1.初步掌握常见的软件漏洞类型与防御方法。2.能够学会使用软件安全编码的基本方法。3.能够运用安全编码进行软件编码实践。2讲授1、2、36实验1：编写安全代码实验1.正确阐述软件安全编码规则。2.能够正确进行软件编码软件漏洞类型分析，并进行规避。3.能够进行安全编码的简单测试。2实验1、2、37六、静态分析简介1.静态分析的能力和局限性2.通过静态分析解决问题3.分析代码与分析编译后的代码1.能够阐述静态分析基本概念。2.能够掌握静态分析方法基本方法。3.能够初步运用基本概念进行静态代码分析。2讲授自学1、2、38实验2：静态分析技术方法测试1.能够正确使用

7、程序数据流的静态分析方法。2.能够掌握程序控制静态分析方法。3.能够使用静态分析进行安全编码测试。4实验1、2、39七、静态分析技术1.建模2.分析算法 3.规则 4.报告结果1.能够掌握静态分析建模。2.能够正确掌握静态分析算法。3.能够正确运用静态分析规则。4.能够运用静态分析技术得到正确结果。2讲授自学1、3、410实验3：静态分析技术的建模及分析1.能够运用基本知识进行建模。2.能够运用所学的分析方法进行静态分析算法分析，并得出结果。3.能够进行编码测试的报告分析。 2实验1、3、411八、编码安全漏洞测试方法1.软件安全功能测试2.软件安全漏洞测试软件安全3.功能测试方法4.软件安全

8、漏洞测试方法5.测试过程模型6.测试数据的管理1.能够说明软件安全测试概念。2.能够基本使用安全漏洞测试的方法。3.能够运用安全漏洞测试方法进行软件功能测试。4.能够通过测试过程模型，得到正确结果。2讲授1、3、412实验4：编码安全漏洞测试1.熟悉正确掌握软件安全功能的测试的步骤与方法。2.能够将安全漏洞的测试的步骤与方法运用到实验测试中。3.能够进行基本的安全漏洞测试与数据管理。4.能够进行基本的安全漏洞编码测试并得出结论。4实验1、3、4五、其他教学环节（课外教学环节、要求、目标）大作业+上机：（课外32学时）(1)查找资料，了解C、C+、Java（其中一种）语言的安全性缺陷，并设计编码

9、安全检查工具，加深学生编码安全的基本概念和理论内容的学习。(2)掌握Java语言GUI程序设计，进行编码安全检查工具开发，让学生提出解决方案，提高学生的规避安全漏洞编程能力。(3)使用开发的编码安全检查工具对源代码进行安全性缺陷检查。使学生了解安全生命周期的相关知识，掌握编码安全漏洞测试方法，能够对软件安全工程问题进行检测。六、教学方法本课程以CAI课堂教学为主，结合作业、实验及自学等教学手段和形式完成课程教学任务。在课堂教学中，通过讲授、安全代码编程演示等教学方法和手段使学生了解编码安全的基本概念和理论，掌握软件安全架构、软件安全编码及编码安全漏洞测试方法。以实际软件安全工程应用为例讲解静态

10、测试和编码安全漏洞测试过程。在实验教学中，结合课堂讲授知识完成相应的实验操作，使学生能够完成安全编码的测法和漏洞检测。在作业教学环节中，通过查阅资料文献来加深课程知识点的学习，并加以整理，锻炼学生能够准确运用语言文字表达自己的观点的能力。在自学教学环节中，对课程中有助于应用性较强且直观的内容，由学生自学完成，以此培养学生的自主学习和问题总结能力。自学内容主要包括静态分析技术。七、考核及成绩评定方式最终成绩由平时成绩和期末考试成绩组合而成。各部分考核内容及所占比例如下：平时成绩：40%。其中作业成绩占10%，主要考核对课程知识点的理解和掌握程度。实验成绩占30%。主要考核学生实验完成情况。考核出勤状况，对于无故旷课、迟到累计达到本课程学