Курс
Основы безопасной разработки программного обеспечения (Secure Software Development)

Показать необходимость комплексного подхода к поддержанию и повышению уровня защищённости программных продуктов. В рамках модуля студенты начнут свое обучение с изучения эталонной модели построения продуктовой безопасности в компании. В качестве артефакта у участников модуля останется оценка уровня зрелости бизнес-функций компании и методов обеспечения безопасности

Записаться на обучение

Код курса

S-123

Формат обучения

Виртуальный класс

Аудитория курса:

Специалисты по безопасности приложений с опытом работы до 1 года

Будущие руководители отдела безопасности приложений

DevOps инженеры

Что узнают слушатели:

Общее представление об информационной безопасности

Задачи, которые возникают у специалистов по продуктовой безопасности в рамках цикла разработки

Обзор практик, применяемых в рамках цикла безопасной разработки

Роли и обязанности каждой из ролей, участвующей в процессе построения защищенных приложений

Эталонная модель построения продуктовой безопасности в компании

Лучшие практики и методологии обеспечения безопасности программных продуктов

Экономическая востребованность поддержания безопасности продуктов

Чему научатся слушатели:

Строить процессы поддержания продуктовой безопасности и разработки

Поддерживать процессы ведения продуктовой безопасности в своей компании

Применять концепции и распространенные методологии ведения продуктовой безопасности

Использовать роли и обязанности каждой из ролей, участвующих в процессе построения защищенных приложений

Программа обучения

5 занятий

20 ак. часов

Введение в информационную безопасность и концепты безопасной разработки

Содержание:

  • Определение информационной безопасности
  • Инструменты защиты ИБ
  • Ключевые концепции безопасности
  • Триада CIA
    • Конфиденциальность
    • Целостность
    • Доступность информации
  • Аутентификация
  • Авторизация
  • Accountability&Non-repudiation
  • Нарушение информационной безопасности
  • CWEs и CVEs
  • Оценка критичности уязвимостей — CVSS
  • Технологии в информационных системах
  • Модель угроз
    • STRIDE
    • DREAD
    • MITRE ATT&CK и CAPEC
    • Attack trees
    • Security Cards
    • ФСТЭК — Методика оценки угроз безопасности информации
  • Интересные инструменты для моделирования угроз
Принципы дизайна для безопасной разработки и требования для безопасной разработки

Содержание:

  • Безопасный цикл разработки ПО
  • Аббревиатуры
    • Software Development LifeCycle (SDLC)
    • DevOps
    • Security Development Lifecycle (SDL)
    • Secure Software Development LifeCycle (SSDLC)
    • DevSecOps
  • Примеры SSDLC
Offensive/Defensive практики по безопасной разработке

Содержание:

  • Откуда брать практики? Как понять, что мы делаем достаточно?
    • Security Development Lifecycle (SDL)
    • Методики оценки зрелости ИБ процессов
    • Производные документы с аналитикой по первичным источникам
  • Откуда брать требования? На что ориентироваться?
  • Внешние требования
  • Стандарты
  • Каким принципам нужно следовать, чтобы получить защищённое ПО?
    • Минимизация плоскости атаки
    • Безопасные настройки по-умолчанию
    • Принцип полного посредничества
    • Принцип наименьших привилегий
    • Отказ в доступе по-умолчанию
    • Принцип защиты в глубину
    • Принцип слабого звена
    • Принцип открытого дизайна
    • Принцип контролируемого падения
    • Не доверять сторонним сервисам
    • Принцип простоты механизмов безопасности
    • Принцип психологической приемлемости
  • Тестирование и ПСИ для безопасного ПО

    Содержание:

    • Secure Coding Guidelines
    • Статический
      • Software Composition Analysis (SCA)
      • Linter
      • Анализ файлов конфигурации
      • Static Application Security Testing (SAST)
    • Динамический анализ
      • Dynamic Application Security Testing (DAST)
      • Interactive Application Security Testing (IAST)
      • Fuzzing
    Развертывание, обслуживание, интеграция, цепочка поставок, использование стороннего ПО в разработке

    Содержание:

    • Хранилища секретов
    • Runtime Application Self-Protection (RASP)
    • Изоляция приложений
    • Контейнеры
    • Виртуальные машины
    • Web Application Firewall (WAF)
      Записаться на обучение

      Как проходит обучение

    • Иммерсивный подход
    • Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.

    • Никаких записей с прошлых потоков
    • Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.

    • Эксперты — реальные практики
    • Наши преподаватели проходят тестирование на соответствие требованиям CyberEd. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.

    • Требования к слушателям курса:
      • Иметь опыт работы в ИТ-сфере (Разработчик, Администратор, Тестировщик, Инженер-поддержки, Архитектор, Product-owner и пр.)
      • Понимать как ведется разработка программных продуктов
      • Обладать навыками администрирования своей домашней ОС (Уметь установить и настроить ПО виртуализации VMWare, VirtualBox, Parallels и пр.)
      • Иметь опыт работы с Unix подобными ОС
      • Иметь базовые знания о компьютерных сетях, протоколы DNS, TCP
      • Иметь базовые умения программирования на любом языке
      • Уметь читать специализированную документацию и техническую литературу на английском языке
      • Уметь читать логи программ и способность самостоятельно гуглить ошибки для решения простейших проблем
      01   / 05

      Записаться на обучение

      !
      !

      FAQ — ответы на частозадаваемые вопросы

      Требования к программному обеспечению?

      Рекомендуемые технические требования

      для комфортного прохождения модуля и сохранения всех полученных материалов:

      • Не менее 16 ГБ оперативной памяти
      • Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
      • Жесткий диск SSD со свободным местом не менее 250 ГБ
      • Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
      • Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
      • Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)

      Все ответы

      Получить консультацию
      !
      !

      Спасибо,
      менеджер свяжеться с вами в ближайшее время

      Спасибо,
      за регистрацию на вебинар

      Заказать обратный звонок

      !
      Заполните это поле
      !
      Заполните это поле