Secure Software Development Life Cycle (HCK4)

Cybersecurity, ICT Security

Location, current course term



Brno / online
7/14/2022 - 7/15/2022 CZECH
Order
10/6/2022 - 10/7/2022 CZECH
Order
Praha / online
8/4/2022 - 8/5/2022 CZECH
Order
11/3/2022 - 11/4/2022 CZECH
Order
Vlastní Školení na míru (termín, lokalita, obsah, délka)

The course:

Hide detail
  • Představení SSDLC
    1. Představení trendů v IT bezpečnosti - Nové trendy a technologie objevující se na trhu.
    2. Životní cyklus bezpečného vývoje SW - SSDLC musí řešit více IT oblastí, jako je kontrola zdrojového kódu, bezpečnostní analýza, design zabezpečení a architekturu, školení a tréning, penetrační a bezpečnostní testování, podporu agilních modelů.
    3. Agilní vývoj a bezpečnost
    4. Modelování bezpečných aplikací (Archimate / UML / Modelování hrozeb) - UML modelování, Archimate a další jazyky pro popis bezpečnosti. Modelování hrozeb pomocí STRIDE a DREAD metodik.
  • DevSecOps
    1. Definice DevOps
    2. DevSecOps Toolchain - Nástroje a technologie pro DevOps a jeho aktivity.
    3. Automatizace bezpečnosti ve vývoji - Revize zdrojového kódu, Makra, OpenVAS a další.
    4. Automatizační přístupy k bezpečnosti - konfigurační management, automatizace testování, bezpečnostní audity, nasazování systémů pomocí kódu.
    5. Architektura jako kód - Bezpečnost definovaná kódem nebo pseudojazyky.
    6. Kontinuální integrace a vývoj ve spojení s bezpečností - zajištění bezpečnosti v kontinuálním vývoji a kontrolních branách nasazování Software na produkci.
  • Aplikační bezpečnost OWASP TOP 10
    1. A 1 – Injektáž - Typy injekcí a detailní pohled do injektování běžných aplikací. Přehled světa injektování nevalidovaných nebo špatně validovaných aplikačních vstupů.
    2. A 2 - Prolomená autentizace - Manipulace s relacemi, uživatelské role a zabezpečení autentizace.
    3. A 3 - Vystavení citlivých dat - První věcí je určit požadavky na ochranu dat v přenosu v uložištích.
    4. A 4 - XML externí entity (XXE) - XML bezpečnost a útoky na XML komunikaci.
    5. A 5 - Prolomení kontroly přístupu - Potvrzení totožnosti uživatele, autentizace a řízení relace jsou rozhodující pro ochranu před autentizačními útoky.
    6. A 6 - Slabá bezpečnostní konfigurace serverů - Problémy v konfiguraci webových aplikačních serverů.
    7. A 7 - Cross-Site Scripting (XSS) - Typy cross site striptingu a jak jim předcházet v běžných webových systémech.
    8. A 8 - Nebezpečná deserializace - Deserializační problémy.
    9. A 9 - Používání komponent se známými zranitelnostmi - Běžné problémy s používáním Open source řešení a knihoven se známými zranitelnostmi.
    10. A 10 - Nedostatečné Logování a monitoring - Logování a monitoring v kontextu IT bezpečnosti. Zdůraznění důležitosti ochrany logů a informací v nich.
    11. Bezpečnost API (REST a SOAP) - základy
    12. Problémy přetečení bufferu - Typy přetečení bufferu a problémy v Software plynoucí z tohoto typu zranitelnosti.
  • Security architektura
    1. Návrhové vzory (nízkoúrovňové) a knihovny řešení - secure visitor, secure factory, exception manager apod.
    2. Architekturní návrhové vzory - Návrhové vzory architekturní vrstvy, návrhové vzory spojené s infrastrukturou a také softwarově definovanými sítěmi (SDN).
  • Nástroje a metody se kterými se setkáte:
    1. OWASP Proactive Controls, BurpSuite, MobSF, apktool, Fiddler, nmap, SQLmap, Lynis, OWASP ZAP proxy, Kali Linux, OpenVAS, Wapiti, Aplication Security verification standard, OWASP testing guide, Opensource nástroje a mnohé další.
Schedule:
2 days (9:00 AM - 5:00 PM )
Course price:
488.00 € ( 590.48 € incl. 21% VAT)
Language:

Vybrané zákaznické reference

T-Mobile Czech Republic a.s., Radomír M.
Secure Software Development Life Cycle ( HCK4)
"Výborné přehledové školení na Web jak pro vývojaře webů, tak pro it security. Možnost se kdykoliv přerušit zeptat se na detaily atp."
AlbisTech s.r.o., Tomáš V.
Secure Software Development Life Cycle ( HCK4)
"Můj dojem ze školení je výborný. Lektor byl profesionál s velkým množstvím znalostí a zkušeností. Bylo vidět, že problematice opravdu rozumí. Získal jsem plno informací a materiálů, které mi velmi pomohou v dalším profesním růstu. Jsem velice spokojený."
ententee s.r.o., Petr V.
Secure Software Development Life Cycle ( HCK4)
"velká profesionalita pana Šottla - jak odborná, tak trenérská. Perfektně splnil obtížné zadání- do 3 hodin kondenzovat ochutnávku 2 denního kurzu, abychom mohli definovat individuální follow-upy. Velmi ochotně nad rámec tréninku dodal tipy na dlší studium problematiky... -> 5* "