Secure Software Development Life Cycle (HCK4)

Cybersecurity, ICT Security

Location, current course term

Brno / online	7/14/2022 - 7/15/2022 CZECH Order 10/6/2022 - 10/7/2022 CZECH Order
Praha / online	8/4/2022 - 8/5/2022 CZECH Order 11/3/2022 - 11/4/2022 CZECH Order
Vlastní	Školení na míru (termín, lokalita, obsah, délka)

The course:

Hide detail

• Představení SSDLC
1. Představení trendů v IT bezpečnosti - Nové trendy a technologie objevující se na trhu.
2. Životní cyklus bezpečného vývoje SW - SSDLC musí řešit více IT oblastí, jako je kontrola zdrojového kódu, bezpečnostní analýza, design zabezpečení a architekturu, školení a tréning, penetrační a bezpečnostní testování, podporu agilních modelů.
3. Agilní vývoj a bezpečnost
4. Modelování bezpečných aplikací (Archimate / UML / Modelování hrozeb) - UML modelování, Archimate a další jazyky pro popis bezpečnosti. Modelování hrozeb pomocí STRIDE a DREAD metodik.

• DevSecOps
1. Definice DevOps
2. DevSecOps Toolchain - Nástroje a technologie pro DevOps a jeho aktivity.
3. Automatizace bezpečnosti ve vývoji - Revize zdrojového kódu, Makra, OpenVAS a další.
4. Automatizační přístupy k bezpečnosti - konfigurační management, automatizace testování, bezpečnostní audity, nasazování systémů pomocí kódu.
5. Architektura jako kód - Bezpečnost definovaná kódem nebo pseudojazyky.
6. Kontinuální integrace a vývoj ve spojení s bezpečností - zajištění bezpečnosti v kontinuálním vývoji a kontrolních branách nasazování Software na produkci.

• Aplikační bezpečnost OWASP TOP 10
1. A 1 – Injektáž - Typy injekcí a detailní pohled do injektování běžných aplikací. Přehled světa injektování nevalidovaných nebo špatně validovaných aplikačních vstupů.
2. A 2 - Prolomená autentizace - Manipulace s relacemi, uživatelské role a zabezpečení autentizace.
3. A 3 - Vystavení citlivých dat - První věcí je určit požadavky na ochranu dat v přenosu v uložištích.
4. A 4 - XML externí entity (XXE) - XML bezpečnost a útoky na XML komunikaci.
5. A 5 - Prolomení kontroly přístupu - Potvrzení totožnosti uživatele, autentizace a řízení relace jsou rozhodující pro ochranu před autentizačními útoky.
6. A 6 - Slabá bezpečnostní konfigurace serverů - Problémy v konfiguraci webových aplikačních serverů.
7. A 7 - Cross-Site Scripting (XSS) - Typy cross site striptingu a jak jim předcházet v běžných webových systémech.
8. A 8 - Nebezpečná deserializace - Deserializační problémy.
9. A 9 - Používání komponent se známými zranitelnostmi - Běžné problémy s používáním Open source řešení a knihoven se známými zranitelnostmi.
10. A 10 - Nedostatečné Logování a monitoring - Logování a monitoring v kontextu IT bezpečnosti. Zdůraznění důležitosti ochrany logů a informací v nich.
11. Bezpečnost API (REST a SOAP) - základy
12. Problémy přetečení bufferu - Typy přetečení bufferu a problémy v Software plynoucí z tohoto typu zranitelnosti.

• Security architektura
1. Návrhové vzory (nízkoúrovňové) a knihovny řešení - secure visitor, secure factory, exception manager apod.
2. Architekturní návrhové vzory - Návrhové vzory architekturní vrstvy, návrhové vzory spojené s infrastrukturou a také softwarově definovanými sítěmi (SDN).

• Nástroje a metody se kterými se setkáte:
1. OWASP Proactive Controls, BurpSuite, MobSF, apktool, Fiddler, nmap, SQLmap, Lynis, OWASP ZAP proxy, Kali Linux, OpenVAS, Wapiti, Aplication Security verification standard, OWASP testing guide, Opensource nástroje a mnohé další.

Schedule:

2 days (9:00 AM - 5:00 PM )

Course price:

488.00 € ( 590.48 € incl. 21% VAT)

Language: