Курс
Основы безопасной разработки программного обеспечения (Secure Software Development)

Показать необходимость комплексного подхода к поддержанию и повышению уровня защищённости программных продуктов. В рамках модуля студенты начнут свое обучение с изучения эталонной модели построения продуктовой безопасности в компании. В качестве артефакта у участников модуля останется оценка уровня зрелости бизнес-функций компании и методов обеспечения безопасности

Записаться на обучение

Код курса

S-123

Формат обучения

Виртуальный класс

Стоимость для физических лиц

37 000 рублей

Аудитория курса:

Специалисты по безопасности приложений с опытом работы до 1 года

Будущие руководители отдела безопасности приложений

DevOps инженеры

Что узнают слушатели:

Общее представление об информационной безопасности

Задачи, которые возникают у специалистов по продуктовой безопасности в рамках цикла разработки

Обзор практик, применяемых в рамках цикла безопасной разработки

Роли и обязанности каждой из ролей, участвующей в процессе построения защищенных приложений

Эталонная модель построения продуктовой безопасности в компании

Лучшие практики и методологии обеспечения безопасности программных продуктов

Экономическая востребованность поддержания безопасности продуктов

Чему научатся слушатели:

Строить процессы поддержания продуктовой безопасности и разработки

Поддерживать процессы ведения продуктовой безопасности в своей компании

Применять концепции и распространенные методологии ведения продуктовой безопасности

Использовать роли и обязанности каждой из ролей, участвующих в процессе построения защищенных приложений

Программа обучения

5 занятий

20 ак. часов

Введение в информационную безопасность и концепты безопасной разработки

Содержание:

  • Определение информационной безопасности
  • Инструменты защиты ИБ
  • Ключевые концепции безопасности
  • Триада CIA
    • Конфиденциальность
    • Целостность
    • Доступность информации
  • Аутентификация
  • Авторизация
  • Accountability&Non-repudiation
  • Нарушение информационной безопасности
  • CWEs и CVEs
  • Оценка критичности уязвимостей — CVSS
  • Технологии в информационных системах
  • Модель угроз
    • STRIDE
    • DREAD
    • MITRE ATT&CK и CAPEC
    • Attack trees
    • Security Cards
    • ФСТЭК — Методика оценки угроз безопасности информации
  • Интересные инструменты для моделирования угроз
Принципы дизайна для безопасной разработки и требования для безопасной разработки

Содержание:

  • Безопасный цикл разработки ПО
  • Аббревиатуры
    • Software Development LifeCycle (SDLC)
    • DevOps
    • Security Development Lifecycle (SDL)
    • Secure Software Development LifeCycle (SSDLC)
    • DevSecOps
  • Примеры SSDLC
Offensive/Defensive практики по безопасной разработке

Содержание:

  • Откуда брать практики? Как понять, что мы делаем достаточно?
    • Security Development Lifecycle (SDL)
    • Методики оценки зрелости ИБ процессов
    • Производные документы с аналитикой по первичным источникам
  • Откуда брать требования? На что ориентироваться?
  • Внешние требования
  • Стандарты
  • Каким принципам нужно следовать, чтобы получить защищённое ПО?
    • Минимизация плоскости атаки
    • Безопасные настройки по-умолчанию
    • Принцип полного посредничества
    • Принцип наименьших привилегий
    • Отказ в доступе по-умолчанию
    • Принцип защиты в глубину
    • Принцип слабого звена
    • Принцип открытого дизайна
    • Принцип контролируемого падения
    • Не доверять сторонним сервисам
    • Принцип простоты механизмов безопасности
    • Принцип психологической приемлемости
  • Тестирование и ПСИ для безопасного ПО

    Содержание:

    • Secure Coding Guidelines
    • Статический
      • Software Composition Analysis (SCA)
      • Linter
      • Анализ файлов конфигурации
      • Static Application Security Testing (SAST)
    • Динамический анализ
      • Dynamic Application Security Testing (DAST)
      • Interactive Application Security Testing (IAST)
      • Fuzzing
    Развертывание, обслуживание, интеграция, цепочка поставок, использование стороннего ПО в разработке

    Содержание:

    • Хранилища секретов
    • Runtime Application Self-Protection (RASP)
    • Изоляция приложений
    • Контейнеры
    • Виртуальные машины
    • Web Application Firewall (WAF)
      Записаться на обучение

      Модель обучения

    • Иммерсивный подход
    • участник курса полностью погружается в профессиональную среду, в которой он в будущем сможет применить свои знания и навыки.

    • Метод гарантированной ошибки:
    • участник через собственный опыт (постояннные небольшие задачи) получает представление о том, что он умеет здесь и сейчас, а где — его точки роста. Преподаватель выступает в качестве наставника, который помогает расти в нужных направлениях и обучает эффективным стратегиям устранения ошибок.

    • Проектное обучение:
    • строится на микропроектах, каждый из которых участник тренируется делать, используя актуальные рекомендации от преподавателя из профессионального опыта.

      01   / 05

      Требования к слушателям курса:

      Иметь опыт работы в ИТ-сфере (Разработчик, Администратор, Тестировщик, Инженер-поддержки, Архитектор, Product-owner и пр.)

      Понимать как ведется разработка программных продуктов

      Обладать навыками администрирования своей домашней ОС (Уметь установить и настроить ПО виртуализации VMWare, VirtualBox, Parallels и пр.)

      Иметь опыт работы с Unix подобными ОС

      Иметь базовые знания о компьютерных сетях, протоколы DNS, TCP

      Иметь базовые умения программирования на любом языке

      Уметь читать специализированную документацию и техническую литературу на английском языке

      Уметь читать логи программ и способность самостоятельно гуглить ошибки для решения простейших проблем

      Записаться на обучение

      Тип клиента
      • Юридическое лицо
      • Физическое лицо

      FAQ — ответы на частозадаваемые вопросы

      Требования к программному обеспечению?

      Рекомендуемые технические требования

      для комфортного прохождения модуля и сохранения всех полученных материалов:

      • Не менее 16 ГБ оперативной памяти
      • Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
      • Жесткий диск SSD со свободным местом не менее 250 ГБ
      • Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
      • Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
      • Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)

      Все ответы

      Получить консультацию

      Спасибо,
      менеджер свяжеться с вами в ближайшее время

      Спасибо,
      за регистрацию на вебинар

      Заказать обратный звонок

      !
      Заполните это поле
      !
      Заполните это поле