这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
认证简介
(ISC)² 安全软件生命周期专业人士(CSSLP)认证证明持证者能够在软件开发全生命周期的每个阶段整合安全实践,是 DevSecOps 时代最受重视的应用安全认证之一。
考试领域与权重
基于 (ISC)² 官方考试大纲,考试涵盖八大领域:
- 安全软件概念(Secure Software Concepts):约 10%
- 安全软件需求(Secure Software Requirements):约 14%
- 安全软件架构与设计(Secure Software Architecture and Design):约 16%
- 安全软件实施与编码(Secure Software Implementation/Coding):约 14%
- 安全软件测试(Secure Software Testing):约 15%
- 安全软件生命周期管理(Secure Software Lifecycle Management):约 11%
- 软件部署、运营与维护(Software Deployment, Operations and Maintenance):约 9%
- 供应链与软件采购(Supply Chain and Software Acquisition):约 11%
考试形式
- 175 道选择题,考试时长 4 小时
- 通过分数 700/1000,通过 Pearson VUE 考试中心或在线监考
- 有效期 3 年,需每年获得 30 个 CPE 学分(共 90 个)维持认证
适合人群
- 软件开发工程师和安全工程师
- DevSecOps 工程师和应用安全专家
- 软件架构师、安全顾问及 AppSec 团队负责人
你会反复碰到的核心服务
安全需求工程与威胁建模(STRIDE、PASTA)安全软件架构原则(最小权限、纵深防御、快速失败)安全编码实践(输入验证、参数化查询、OWASP Top 10 防御)安全测试技术(静态分析 SAST、动态分析 DAST、渗透测试)软件供应链安全管理与依赖包漏洞分析DevSecOps 管道中的安全自动化集成
学完以后你能带走什么
- 系统掌握将安全实践嵌入软件开发全生命周期的方法与工具
- 能够在真实开发团队中推动 DevSecOps 文化和安全左移实践
- 通过 CSSLP 认证,在应用安全和软件安全架构领域建立全球公认的专业资质
考试详情
考试代码
CSSLP
发证机构
其他认证机构
时长
90 分钟
题目数
65 题
及格分
70/100
有效期
3 年
适合谁考
适合人群
- 软件开发工程师和安全工程师希望系统掌握安全软件开发实践
- DevSecOps 工程师和应用安全专家(AppSec Engineer)
- 软件架构师及参与安全软件采购和供应链管理的专业人士
- 希望向应用安全领域发展的软件开发人员
开始前最好先有
- 至少 4 年软件开发生命周期(SDLC)相关工作经验,其中需包含安全软件开发实践
- 无需持有 CISSP,但具备软件开发背景和安全基础知识有助于备考
备考节奏
有 AWS 实操经验
8-10 周
零基础切入
12-16 周
建议日投入
1-2 小时/天
学习路径预览
3 章1
CSSLP Exam Overview
40 min2
Core Knowledge Review
120 min3
Exam Preparation & Practice
100 min同赛道认证对比
| CSSLP | CCDAK | CCFA | |
|---|---|---|---|
| 机构 | 其他 | 其他 | 其他 |
| 级别 | 专业级 | 助理级 | 专业级 |
| 考试费 | $0 | $150 | $300 |
| 时长 | 90 min | 90 min | 90 min |
| 题量 | 65 | 60 | 60 |
| 有效期 | 3 年 | 2 年 | 3 年 |
备考技巧与常见失误
💡
65 题 90 分钟,平均每题 1 分钟,合理分配时间
💡
及格分 70/100,不确定的题先标记跳过,回头再做
💡
排除法非常有用 — 先排掉明显错误的选项,剩下的再分析
⚠️
没有读完所有选项就选答案 — 题目经常有"最佳"答案和"正确但不最佳"的干扰项
⚠️
备考只刷题不理解原理 — 考试场景题需要理解底层概念
⚠️
忽略时间管理 — 在难题上卡太久,导致后面简单题没时间做