- Главная
- Безопасная разработка
- Основы безопасной разработки программного обеспечения (Secure Software Development)
Курс
Основы безопасной разработки программного обеспечения (Secure Software Development)
Показать необходимость комплексного подхода к поддержанию и повышению уровня защищённости программных продуктов. В рамках модуля студенты начнут свое обучение с изучения эталонной модели построения продуктовой безопасности в компании. В качестве артефакта у участников модуля останется оценка уровня зрелости бизнес-функций компании и методов обеспечения безопасности
Код курса
S-123
Формат обучения
Виртуальный класс
Стоимость для физических лиц
37 000 рублей
Аудитория курса:
Специалисты по безопасности приложений с опытом работы до 1 года
Будущие руководители отдела безопасности приложений
DevOps инженеры
Что узнают слушатели:
Общее представление об информационной безопасности
Задачи, которые возникают у специалистов по продуктовой безопасности в рамках цикла разработки
Обзор практик, применяемых в рамках цикла безопасной разработки
Роли и обязанности каждой из ролей, участвующей в процессе построения защищенных приложений
Эталонная модель построения продуктовой безопасности в компании
Лучшие практики и методологии обеспечения безопасности программных продуктов
Экономическая востребованность поддержания безопасности продуктов
Чему научатся слушатели:
Строить процессы поддержания продуктовой безопасности и разработки
Поддерживать процессы ведения продуктовой безопасности в своей компании
Применять концепции и распространенные методологии ведения продуктовой безопасности
Использовать роли и обязанности каждой из ролей, участвующих в процессе построения защищенных приложений
Программа обучения
5 занятий
20 ак. часов
Содержание:
- Определение информационной безопасности
- Инструменты защиты ИБ
- Ключевые концепции безопасности
- Триада CIA
- Конфиденциальность
- Целостность
- Доступность информации
- Аутентификация
- Авторизация
- Accountability&Non-repudiation
- Нарушение информационной безопасности
- CWEs и CVEs
- Оценка критичности уязвимостей — CVSS
- Технологии в информационных системах
- Модель угроз
- STRIDE
- DREAD
- MITRE ATT&CK и CAPEC
- Attack trees
- Security Cards
- ФСТЭК — Методика оценки угроз безопасности информации
- Интересные инструменты для моделирования угроз
Содержание:
- Безопасный цикл разработки ПО
- Аббревиатуры
- Software Development LifeCycle (SDLC)
- DevOps
- Security Development Lifecycle (SDL)
- Secure Software Development LifeCycle (SSDLC)
- DevSecOps
- Примеры SSDLC
Содержание:
- Откуда брать практики? Как понять, что мы делаем достаточно?
- Security Development Lifecycle (SDL)
- Методики оценки зрелости ИБ процессов
- Производные документы с аналитикой по первичным источникам
- Откуда брать требования? На что ориентироваться?
- Внешние требования
- Стандарты
- Минимизация плоскости атаки
- Безопасные настройки по-умолчанию
- Принцип полного посредничества
- Принцип наименьших привилегий
- Отказ в доступе по-умолчанию
- Принцип защиты в глубину
- Принцип слабого звена
- Принцип открытого дизайна
- Принцип контролируемого падения
- Не доверять сторонним сервисам
- Принцип простоты механизмов безопасности
- Принцип психологической приемлемости
Содержание:
- Secure Coding Guidelines
- Статический
- Software Composition Analysis (SCA)
- Linter
- Анализ файлов конфигурации
- Static Application Security Testing (SAST)
- Динамический анализ
- Dynamic Application Security Testing (DAST)
- Interactive Application Security Testing (IAST)
- Fuzzing
Содержание:
- Хранилища секретов
- Runtime Application Self-Protection (RASP)
- Изоляция приложений
- Контейнеры
- Виртуальные машины
- Web Application Firewall (WAF)
Модель обучения
участник курса полностью погружается в профессиональную среду, в которой он в будущем сможет применить свои знания и навыки.
участник через собственный опыт (постояннные небольшие задачи) получает представление о том, что он умеет здесь и сейчас, а где — его точки роста. Преподаватель выступает в качестве наставника, который помогает расти в нужных направлениях и обучает эффективным стратегиям устранения ошибок.
строится на микропроектах, каждый из которых участник тренируется делать, используя актуальные рекомендации от преподавателя из профессионального опыта.
Требования к слушателям курса:
Иметь опыт работы в ИТ-сфере (Разработчик, Администратор, Тестировщик, Инженер-поддержки, Архитектор, Product-owner и пр.)
Понимать как ведется разработка программных продуктов
Обладать навыками администрирования своей домашней ОС (Уметь установить и настроить ПО виртуализации VMWare, VirtualBox, Parallels и пр.)
Иметь опыт работы с Unix подобными ОС
Иметь базовые знания о компьютерных сетях, протоколы DNS, TCP
Иметь базовые умения программирования на любом языке
Уметь читать специализированную документацию и техническую литературу на английском языке
Уметь читать логи программ и способность самостоятельно гуглить ошибки для решения простейших проблем
FAQ — ответы на частозадаваемые вопросы
Рекомендуемые технические требования
для комфортного прохождения модуля и сохранения всех полученных материалов:
- Не менее 16 ГБ оперативной памяти
- Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
- Жесткий диск SSD со свободным местом не менее 250 ГБ
- Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
- Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
- Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)
Все ответы




Гражданство?

Сколько вам полных лет?

В какой сфере вы работаете/учитесь?


Умеете ли вы работать с прикладными программами: MS Office, Windows Explorer, браузеры?

Вам знакомы такие сетевые модели, как OSI или TCP/IP?

Есть ли у вас опыт работы с системами виртуализации (VirtualBox, VMWare)?

Умеете ли вы работать с ОС Linux или ОС Windows при помощи терминальной оболочки?

Вы умеете программировать? Можете написать на языке python, powershell или каком-либо другом скрипт или мини-программу?
Заказать обратный звонок
Мы используем cookie
Используя наш сайт, вы соглашаетесь с использованием файлов cookie и сервисов сбора технических данных посетителей (IP-адресов, местоположения и др.) для обеспечения работоспособности и улучшения качества обслуживания.