Certified Professional for Secure Software Engineering

Zur Erlangung des Zertifikats werden keine Zulassungsanforderungen wie beispielsweise mehrjährige Berufserfahrung oder ein bestimmter Universitätsabschluss gestellt. Allerdings wird von den Kandidaten erwartet, dass sie fundierte Kenntnisse in der Softwareentwicklung sowie Grundkenntnisse im Bereich Informationstechnologie und Qualitätssicherung besitzen. CPSSE Schulungen werden nur von akkreditierten Schulungsanbietern angeboten. Die Prüfung wird von einem Zertifizierungsdiensteanbieter abgenommen, dies ist zurzeit ausschließlich das International Software Quality Institute GmbH in Potsdam (www.isqi.org). Nach den Vorgaben der ISO/IEC 17024:2003 besitzen die Zertifikate eine Gültigkeit von 36 Monaten. Danach ist eine Rezertifizierung erforderlich.

Die Zielgruppe für eine CPSSE Zertifizierung sind alle Beteiligten im Software Entwicklungsprozess:

• Requirements Engineers
• Software Architekten
• Designer
• Entwickler
• Software-Qualitätsmanager
• Softwaretester
• Projektmanager
• Software Development Stakeholder

Die Prüfung ist derzeit nur auf Englisch verfügbar, soll aber bald auch in deutscher Sprache möglich sein. Es handelt sich um eine Multiple Choice-Prüfung mit 60 Fragen. Die Fragen sind in die 13 CPSSE Themengebiete eingeteilt. Zum Bestehen der CPSSE-Prüfung müssen mindestens 55% der Punkte erreicht werden. Zur Beantwortung der Fragen stehen 1,5 Stunden zur Verfügung.

Es ist keine erneute Prüfung erforderlich, sofern der Zertifikatsinhaber nach drei Jahren einen Antrag auf Rezertifizierung stellt und seine Fachkunde nachweist, z. B. über den Nachweis von besuchten Fortbildungsveranstaltungen, Vorträgen oder Publikationen auf dem Gebiet der sicheren Softwareentwicklung.

Die CPSSE-Zertifizierung ist in 13 Bereiche aufgeteilt:

1. Fundamentals of software security
2. The implications of shipping insecure software to customers
3. The importance of security for a software system's stakeholders
4. Methodologies for secure software development
5. Requirements engineering for secure software
6. Threat models
7. Secure design
8. Secure coding
9. Security testing
10. Secure deployment
11. Security response
12. Security metrics
13. Code and resource protection

Die Bereiche spannen dabei einen Bogen um den gesamten Softwareentwicklungsprozesses: Von der Anforderungsanalyse bis hin zur Auslieferung des Softwareprodukts – und das stets unter der Fragestellung, welche Sicherheitsmaßnahmen in den einzelnen Phasen des SDLC zum Schutz der Anwendung ergänzt werden können.

Oftmals wird unter sicherer Softwareentwicklung in der Praxis nur das sichere Kodieren - z. B. Vermeidung von SQL Injection- und Buffer Overflow-Angriffen durch Input Validation - und das statische und dynamische Testen von Anwendungen auf Sicherheitsschwachstellen verstanden. Sichere Softwareentwicklung beginnt aber bereits in den ersten Phasen im Softwareentwicklungsprozess und spielt auch noch bei der Auslieferung des Softwareprodukts und dem internen „Security Response“-Prozess eine wichtige Rolle.

• Liste der IT-Zertifikate
• iSQI-„Certified“-Programm
• ISSECO Homepage
• „Basiswissen Sichere Software“ von Sachar Paulus
• Heise Developer, QAMP – auf dem Weg zum Software Quality Engineering, Teil 4, Verlässlich abgesichert von Sachar Paulus
• ENISA Quarterly Review Q3 2009, vol. 5, no. 3, A New Qualification to Guarantee Secure Software Engineering Skills
• Blog zur Softwarequalität