Курс
Безопасная разработка приложений в рамках SDL цикла (Security Development Lifecycle) Advance

Подготовить начинающих и будущих специалистов по «Application Security» к работе в отделе обеспечения безопасности разработки ПО, ознакомив их с лучшими практиками и сформировавшимися подходами повышения уровня защищенности приложений в процессе разработки. А также познакомить специалистов с особенностями процессов безопасной разработки, инструментов применяемых в SSDLc цикле и научить их выстраивать взаимодействие в подразделении в соответствии с требованиями к процессу и пониманием эффективности шагов.

Записаться на обучение

Код курса

S-232-12

Формат обучения

Виртуальный класс

Аудитория курса:

Разработчики веб-приложений

Тестировщики веб-приложений

DevOps инженеры

Будущие руководители отдела безопасности приложений

Специалисты по безопасности приложений с опытом работы до 1 года

Что узнают слушатели:

Устройство, тонкости, принципы и подходы к построению SSDLc в организациях работающих с разработкой ПО

Подходы и методологии созданные для повышения уровня защищенности приложений

Средства для обеспечения автоматизации процессов ИБ

Чему научатся слушатели:

Формулировать требования и процессы в цикле безопасной разработки ПО, а также строить дорожную карту развития SSDLc

Применять инструменты DAST, SAST, SCA в CI/CD

Автоматизировать анализ безопасности окружения приложений

Обнаруживать ряд типовых уязвимостей и угроз веб-приложений, входящих в список проекта OWASP Top 10, с использованием автоматизированных средств

Программа обучения

12 занятия

48 ак. часов

Знакомство с безопасным циклом разработки ПО

Содержание:

  • ИБ на этапе сбора требований
    • Оценка рисков безопасности
      • Качественные и количественные способы оценки рисков
      • Security & Privacy риски
    • Опредение требовний ИБ
  • ИБ на этапе проектирования
    • Security Design Review
      • Цели и задачи Security Design Review
      • На что обращать внимание при проведении Security Design Review
    • Analyze Attack Surface
      • Классификация активов
      • Модель нарушителя. Внутренний и внешний нарушитель
    • Моделирование угроз
      • STRIDE
      • Инструменты для моделирования угроз (OWASP threat Dragon)

Атомарные навыки:

  • Security & Privacy Risk Assesment
  • Security Design Review
  • STRIDE
  • Threat Modeling
Security на этапах сбора требованиях и проектирования инфраструктуры

Содержание:

  • ИБ на этапе сбора требований
    • Оценка рисков безопасности
      • Качественные и количественные способы оценки рисков
      • Security & Privacy риски
    • Опредение требовний ИБ
  • ИБ на этапе проектирования
    • Security Design Review
      • Цели и задачи Security Design Review
      • На что обращать внимание при проведении Security Design Review
    • Analyze Attack Surface
      • Классификация активов
      • Модель нарушителя. Внутренний и внешний нарушитель
    • Моделирование угроз
      • STRIDE
      • Инструменты для моделирования угроз (OWASP threat Dragon)

Атомарные навыки:

  • Security & Privacy Risk Assesment
  • Security Design Review
  • STRIDE
  • Threat Modeling
Security на этапе написания кода. Статические анализаторы кода

Содержание:

  • «Организационные» способы обеспечения безопасности
    • Использование разрешенных технологий. Техрадар
    • Deprecate unsafe functions. Линтеры
  • Задачи SAST
  • Особенности SAST продуктов
  • Процесс работы SAST
  • Типы статического анализа
    • Сигнатурный
    • Классический taint-анализ
    • Анализ модели вычисления
  • Особенности работы с результатами
    • True Positive vs False Positive vs False Negative
    • Тюнинг SAST’а «под себя»
  • Инструменты
    • OpenSource решения. Semgrep
    • Коммерческие решения. CodeQL
    • Личный опыт
  • Юзкейсы использования SAST в организации
    • SAST for security department
    • SAST в CI
    • SAST в IDE
  • Секреты в коде
    • Чем опасен хардкод секретов в коде
    • Утилиты для поиска секретов
    • Способы выстраивания процесса поиска секретов

Атомарные навыки:

  • SAST
  • Writing custom rules for Semgrep
  • Secret search
Инструменты анализа сторонних компонентов ПО (Software Composition Analysis). SBOM

Содержание:

  • Software Composition Analysis
    • Задачи. Принцип работы
    • Источники информации для SCA & OSA
    • Особенности работы с результатами
  • SBOM
    • Что такое SBOM?
    • Юзкейсы использования SBOM
    • Утилиты для построения SBOM

Атомарные навыки:

  • SCA
  • SBOM
Динамический анализ уязвимостей и фаззинг тестирование

Содержание:

  • Dynamic Application Security Testing
    • Юзкейсы. Область применимости
    • Сетевые сканеры
      • Nmap
      • Nuclei
      • OpenVas
    • Web сканеры
      • Nuclei
    • Проксирующие сканеры
      • OWASP ZAP
      • Burp Community
  • Fuzzing
    • Юзкейсы. Область применимости

Атомарные навыки:

  • DAST
  • Writing custom rules for Nuclei
  • DAST with OWASP ZAP
Предрелизные проверки безопасности

Содержание:

  • Security Audit
    • Особенности организации процесса Security Audit’а
    • Что искать на Security Audit’е
    • Проверка корректности исправления найденных проблем ИБ
  • Составление плана реагирования на инциденты

Атомарные навыки:

  • Security Audit
Безопасность окружения на этапе разработки

Содержание:

  • Менеджмент секретов
    • Hashicorp Vault
  • Анализ контейнеров
    • Анализ конфигурации контейнера (Dockerfile)
    • Анализ контейнера в «runtime»
  • Безопасность CI/CD
  • Hardening окружения
    • Запуск сервиса от непривилегированного пользователя
    • Запрет egress-траффика

Атомарные навыки:

  • Secret Management
  • Security Hardenings
  • Security of CI/CD
Безопасность в продакшене

Содержание:

  • Мониторинг безопасности в Runtime
    • Osquery
    • Falco
  • BugBounty
    • Особенности багбаунти. Определение скоупа

Атомарные навыки:

  • Security Monitoring
  • Bugbounty
Security Education

Содержание:

  • Security Guidlines
  • Тренинги по безопасности для разработчиков

Атомарные навыки:

  • Security Guidlines
  • Security Trainings
Реализация Pipeline

Содержание:

  • Варианты запуска security pipeline
  • Реализация этапа SCA
  • Реализация запуска SAST параллельно сборке
  • Реализация запуска DAST по окончании сборки
  • Выгрузка найденных дефектов в DefectDojo

Атомарные навыки:

  • SAST
  • SCA
  • DAST
  • DefectDojo
Дорожная карта SSDLc в организации

Семинар на тему первых шагов в построение безопасной разработки в компании и выстраивания процесса SSDLC:

  • SSDLc с нуля
    • С чего начать стартуя практики AppSec’а в компании
    • Составление дорожной карты выстраивания процессов AppSec в компании
  • Разбор кейсов
  • Уровни зрелости SSDLc в организации
Записаться на обучение

Как проходит обучение

  • Иммерсивный подход
  • Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.

  • Никаких записей с прошлых потоков
  • Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.

  • Эксперты — реальные практики
  • Наши преподаватели проходят тестирование на соответствие требованиям CyberEd. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.

  • Требования к слушателям курса:
    • Уметь читать специализированную документацию и техническую литературу на английском языке
    • Иметь опыт написания кода на любом языке программирования (PHP, Python, Java, JavaScript, Ruby, etc…)
    • Иметь представление о взаимодействии компьютеров в сети (понимать работу протоколов IP, TCP, DNS, HTTP)
    • Иметь опыт разработки веб-приложений (как минимум динамических страниц)
    01   / 05

    Записаться на обучение

    Стоимость

    136 000 рублей

    !
    !

    FAQ — ответы на частозадаваемые вопросы

    Требования к программному обеспечению?

    Рекомендуемые технические требования

    для комфортного прохождения модуля и сохранения всех полученных материалов:

    • Не менее 16 ГБ оперативной памяти
    • Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
    • Жесткий диск SSD со свободным местом не менее 250 ГБ
    • Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
    • Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
    • Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)

    Все ответы

    Получить консультацию
    !
    !

    Спасибо,
    менеджер свяжеться с вами в ближайшее время

    Спасибо,
    за регистрацию на вебинар

    Заказать обратный звонок

    !
    Заполните это поле
    !
    Заполните это поле