SDLC- Bezpieczny Cykl Rozwojowy Oprogramowania

Kategoria: Szkolenia › Informatyka › Bezpieczestwo

Czas trwania: 3 dni
Poziom: zaawansowany
Rodzaj szkolenia: metodyczne
Materiały szkoleniowe: polskie (PT)
Certyfikacja: Premium Technology
Kod szkolenia: B-PW02


Organizator:

Logo Premium Technology Sp. z o. o.

Premium Technology Sp. z o. o.

ul. Leszno 14
01-192 Warszawa
tel. 022 535 68 37

strona o organizatorze »

Szczegóły:

Data: do negocjacji

Cena: 2 700 zł

Miejsce wydarzenia:

ul. Leszno 14, 01-192

Warszawa


Cel szkolenia

- Pełne omówienie Bezpiecznego Cyklu Rozwojowego Oprogramowania (SDLC – Secure Development Lifecycle)
- Praktyczne zapoznanie się z zastosowaniem elementów z cyklu projektowania zabezpieczeń w odniesieniu do wiodących metodyk bezpiecznego procesu wytwórczego oprogramowania

Program szkolenia

Moduł metodyczny szkolenia – 2 dni :
Składniki (Poziomy) Bezpiecznego Cyklu Rozwoju Oprogramowania (SDLC):

- Poziom 0 - Budowanie Świadomości.
Edukacja ciągła. Śledzenie zgodności z SDLC. Mierniki wiedzy. Implementacje szkoleń.
- Poziom 1 - Tworzenie Projektu.
Potwierdzenie uczestnictwa aplikacji w procesie zgodności z SDLC. Wskazanie doradcy ds. bezpieczeństwa. Prowadzenie spotkań. Przegląd modeli zagrożeń. Analiza błędów zabezpieczeń i ochrony prywatności. Powołanie zespołu kierowniczego ds. bezpieczeństwa. Rewizja śledzonych błędów. Kryteria oceny błędów.
- Poziom 2 - Definiowanie i zastosowanie najlepszych praktyk.
Zasady bezpiecznego programowania. Analiza i redukcja pola ataku. Ograniczanie praw dostępu do składników oprogramowania.
- Poziom 3 - Ocena ryzyka produktu.
Budowa i analiza kwestionariusza oceny ryzyka. Wskaźniki wpływu na prywatność.
- Poziom 4 - Analiza ryzyka.
Składniki procesu modelowania zagrożeń. Budowa modelu zagrożeń. Proces modelowania zagrożeń (scenariusze użycia, zależności zewnętrzne, założenia bezpieczeństwa, odnotowywanie uwag o bezpieczeństwie, diagramy przepływu danych, ustalanie rodzajów zagrożeń, rozpoznawanie zagrożeń, ustalanie ryzyka, planowanie środków minimalizujących skutki).
- Poziom 5 - Tworzenie dokumentacji, narzędzi i metod zabezpieczeń.
Dokumentacja i narzędzia. Dokumentacja składników wydania w ujęciu najlepszych praktyk i metod zabezpieczeń. Tworzenie narzędzi.
- Poziom 6 - Zasady bezpiecznego programowania.
Wersje kompilatorów i narzędzi otoczenia. Zabezpieczenia wbudowane w kompilatory. Analiza kodu źródłowego. Wskazanie zakazanych funkcji. Lista kontrolna bezpiecznego programowania.
- Poziom 7 - Zasady bezpiecznego testowania.
Metody testowania zabezpieczeń (fuzzing, pen-testing). Weryfikacja wykonania testów. Kontrola i aktualizacja modeli zagrożeń. Ponowna ocena pola ataku na oprogramowanie.
- Poziom 8 - Kampania bezpieczeństwa.
Przygotowania czas trwania kampanii w projekcie. Szkolenia i przeglądy kodu. Aktualizacja modeli zagrożeń. Testowanie zabezpieczeń. Dopracowanie pola ataku. Dopracowanie dokumentacji.
- Poziom 9 - Końcowy przegląd bezpieczeństwa.
Koordynacja działań zespołu. Przegląd modeli zagrożeń. Przegląd niepoprawionych błędów zabezpieczeń. Kontrola stosowanych narzędzi. Wyjątki i ich opracowanie.
- Poziom 10 - Planowanie reakcji na incydenty bezpieczeństwa.
Powody planowania. Przygotowanie sposobu reakcji. Relacja wobec zespołu wytwarzającego oprogramowanie. Wsparcie odbiorców. Zapewnienie aktualizacji produktu.
- Poziom 11 - Publikacja produktu.
- Poziom 12 - Reakcja na incydenty bezpieczeństwa w praktyce.
Postępowanie zgodne z planem. Ustalanie sposobu działania. Ocena elementów możliwych do pominięcia. Priorytety reakcji.

Moduł praktyczny szkolenia - 1 dzień :
Laboratorium implementacji SDLC w Microsoft .NET
lub
Laboratorium implementacji SDLC w Java

Podczas laboratoriów uczestnicy będą mieli możliwość zapoznania się z praktycznym zastosowaniem elementów z cyklu projektowania zabezpieczeń w odniesieniu do wiodących metodyk bezpiecznego procesu wytwórczego oprogramowania. Nacisk położony zostanie na wykorzystanie metodyki Security Development Lifecycle (SDL) firmy Microsoft i częściowo, innych metodyk z grupy Secure Development Life Cycle (SDLC).

Jednym z szerzej omówionych tematów będzie modelowanie zagrożeń, które jest najważniejszym etapem metodyki SDL. Model zagrożeń pozwala na znaczne zwiększenie bezpieczeństwa oprogramowania już na etapie projektowania. Świadomość zagrożeń, jaką daje ten model, pomaga również programistom w uniknięciu błędów bezpieczeństwa także podczas implementacji rozwiązania. Uczestnicy zapoznają się głównymi metodykami tworzenia modelu oraz narzędziami przeznaczonymi do jego przygotowania. Zostanie wykonane ćwiczenie polegające na przygotowaniu modelu zagrożeń dla przykładowego projektu.

Podczas ćwiczeń uczestnicy będą mogli zapoznać się z podstawowymi typami ataków w odniesieniu do aplikacji webowych oraz metody ich zapobieganiu w postaci dobrych praktyk bezpiecznego projektowania oraz implementacji. Ćwiczenia oraz przykłady będą oparte o wybraną platformę (JEE lub .NET). Przedstawione zostaną narzędzia przeznaczone dla wybranej platformy, które mogą zostać użyte do przeglądu bezpieczeństwa, a w konsekwencji wykrycia słabych punktów oprogramowania.

Podczas zajęć użyte zostaną przykładowe aplikacje napisane dla wspomnianych wcześniej platform wraz z kodami źródłowymi, które posłużą za przykład omawianych zagadnień – zarówno prezentację słabych punktów jak i metod bezpiecznej implementacji dla .NET oraz JEE.

Dodaj ofertę

Więcej informacji

Korzyści dla uczestników:

Po zakończeniu szkolenia uczestnik powinien:

- Znać najlepsze praktyki stosowania SDLC
- Znać strukturę i sposób nawigacji po SDLC
- Znać korzyści ze świadomego stosowania praktyk SDLC w projekcie rozwoju oprogramowania

Przeznaczone dla:

- Kierowników projektów
- Architektów oprogramowania
- Projektantów oprogramowania
- Programistów

Wymagania wstępne:

- Podstawowa znajomość zasad programowania w zespołach projektowych
- Znajomość języka angielskiego na poziomie umożliwiającym czytanie i rozumienie dokumentacji technicznej