Основы безопасной разработки
Практический курс от BI.ZONE и CyberED по SSDLC для разработчиков приложений
Назначение
Эксплуатация уязвимостей веб‑приложений — один из самых популярных способов проникновения в инфраструктуру. Небезопасный код повышает вероятность успешных атак, а его исправление увеличивает стоимость проекта.
Чтобы снизить эти риски, оптимизировать затраты и сократить time‑to‑market, компании развивают навыки в области безопасной разработки у сотрудников, участвующих в создании ПО
Чтобы снизить эти риски, оптимизировать затраты и сократить time‑to‑market, компании развивают навыки в области безопасной разработки у сотрудников, участвующих в создании ПО
2-е место
по популярности занимает использование уязвимостей веб‑приложений среди способов атак на IT‑инфраструктуру
В 4–5 раз
дороже исправить ошибку после выпуска продукта, чем на этапе проектирования
О курсе
Курс BI.ZONE и CyberED позволяет обучить большую команду без отрыва от производства. Он познакомит с основными принципами безопасности и методами защиты веб‑приложений, а также позволит внедрять процессы в рамках SDL‑цикла
Формат
- Видеолекции и самостоятельная практическая работа
- Прохождение курса в любое время в рамках подписки
71
академический час
70
занятий
14
практических заданий
4–5 месяцев
комфортный срок прохождения
207
тестов
Ключевые темы
Основы безопасной разработки
- Принципы кибербезопасности
- Основы моделирования угроз
- Методологии разработки DevOps и DevSecOps
- Основные практики SSDLC, CI/CD
- Принципы дизайна безопасного ПО
Тестирование безопасности
- QA-тестирование
- Статический и динамический анализ
- Фаззинг-тестирование
Угрозы безопасности приложений
- Основные типы уязвимостей веб‑приложений и способы защиты
- Мировые практики и стандарты безопасности приложений
- Основы криптографической защиты
Посмотрите полную программу и узнайте содержание каждого модуля
Каким компаниям подойдет курс
- Занимающимся in‑house‑ или заказной разработкой
- Обязанным соблюдать требования законодательства по сертификации (например, разрабатывающим ГИС
, продукты для объектов КИИ , АСУ ТП или ПО для медицинского сектора) - Использующим внутренние стандарты, системы сертификации и требования к разрабатываемым продуктам
- Применяющим в работе ГОСТы по разработке безопасного ПО
Результат обучения
Внедрение лучших практик SSDLC
Переймете опыт безопасной разработки от экспертов по кибербезопасности
Сокращение time-to-market
Оптимизируете затраты на разработку продуктов благодаря исправлению ошибок в них на более ранних этапах
Минимизация бизнес‑рисков
Сократите потенциальный ущерб от инцидентов, вызванных уязвимостями в ваших веб‑приложениях
Повышение эффективности коммуникации
Выявите точки пересечения между командами безопасности и разработки, чтобы упростить совместную работу и повысить ее качество
Развитие компетенций сотрудников
Кому будет полезен курс
- DevOps- и AppSec-инженерам
- Специалистам по безопасности
- Разработчикам приложений
- Аналитикам
Технологии, которые освоит ваша команда
- SAST
- Nginx
- SQL
- Docker
- Kerberos
- Git
- SCA
Эксперты
Павел Загуменнов
Руководитель решений анализа защищенности, BI.ZONE
Обладатель сертификатов OSCP, OSWE, OSWP, CCNA R&S
Егор Богомолов
Эксперт в наступательной кибербезопасности, CyberED & Singleton Security
Вице-капитан команды True0xA3
Провел более 300 проектов по анализу защищенности и тестированию на проникновение
Алексей Гришин
Ex-CPO продукта CICADA8, Future Crew МТС
Организатор VolgaCTF и VSFI
Тренер золотых призеров World Skills по кибербезопасности
Никита Ермолаев
Руководитель направления «Безопасность разработки» (AppSec и DevSecOps), X5 Group
Строил процессы в финтехе, кибербезе и ритейл-компаниях
Контрибьютор open-source-инструментария кибербезопасности
Личный кабинет
Вам может быть интересно
Модуль 0. Введение в безопасную разработку (12 уроков)
Знакомство с основными понятиями кибербезопасности, а также фреймворками и методологиями безопасной разработки
- Основные концепции кибербезопасности
- Рискориентированный подход
- CVSS, оценка критичности уязвимостей
- Моделирование угроз
- Методологии разработки. DevOps и DevSecOps
- CI/CD
- Основные практики SSDLC
- Принципы дизайна безопасного ПО
- OWASP SAMM
- QA-тестирование
- Статический анализ: SAST, SCA, анализ конфигураций
- Динамический анализ: DAST, IAST, фаззинг
Модуль 1. Угрозы безопасности веб‑приложений (15 уроков)
Изучение широкого спектра уязвимостей веб‑приложений, их классификации, причин возникновения и способов митигации
- Инъекции команд
- SQL-инъекции
- Server-side request forgery (SSRF)
- XXE-инъекции
- Уязвимости при работе с файлами
- Same-origin policy (SOP) и client‑side request forgery (CSRF)
- Cross-origin resource sharing (CORS)
- Cross-site scripting (XSS)
- Content Security Policy (CSP)
- Уязвимости бизнес‑логики
- Уязвимости контроля доступа
- Уязвимости конфигурации
- Уязвимости небезопасной десериализации
- Использование компонентов с известными уязвимостями
- Недостаточное протоколирование и мониторинг
Модуль 2. Обеспечение безопасности веб‑приложений (23 урока)
Изучение функций безопасности, включая протоколы HTTP, SSL/TLS, PKI, сессий, механизмов аутентификации и авторизации, взаимодействия с СУБД
- Мировые практики и стандарты безопасности приложений
- Безопасность веб‑приложений на базовом уровне
- Сбор информации о веб‑приложении
- Криптография для веб‑приложений
- Аутентификация, авторизация и менеджмент сессий
- Уязвимости и недостатки механизмов аутентификации
- Безопасность СУБД
2.1.
Протокол HTTP
2.2.
Заголовки безопасности HTTP
3.1.
Различия устройства веб‑приложений
3.2.
Раскрытие информации о веб‑приложении
4.1.
Криптографические примитивы: шифрование
4.2.
Криптографические примитивы: хеширование, HMAC, ГПСЧ
4.3.
Проблемы использования режимов шифрования
4.4.
Протокол SSL/TLS, PKI и сертификаты x.509
5.1.
Аутентификация
5.2.
Менеджмент сессий
5.3.
Подписанные данные (JWT)
5.4.
OAuth и OIDC: провайдеры авторизации и аутентификации
6.1.
Уязвимости в механизмах однофакторной аутентификации
6.2.
Уязвимости мультифакторной аутентификации
6.3.
Уязвимости механизмов: смены и восстановления пароля, поддержания сессии
6.4.
Уязвимости, связанные с использованием JWT
6.5.
Уязвимости, связанные с использованием OAuth
7.1.
Безопасность запросов
7.2.
Безопасность конфигурации
7.3.
Безопасность аутентификации и авторизации
7.4.
Безопасность соединений
7.5.
Безопасность консистентности
Модуль 3. Безопасность окружения (8 уроков)
Получение навыков обеспечивать безопасность Docker, Kubernetes, окружения приложений и хранения информации, грамотно настраивать элементы приложений, использовать Ansible и CIS Benchmark, Nginx, работать с HashiCorp Vault
- Окружение приложений
- Ansible и CIS Benchmark для безопасности ОС
- Nginx: описание, настройка, безопасность
- Безопасность Docker
- Безопасность Kubernetes
- HashiCorp Vault — безопасное хранение секретов
- Обеспечение безопасности облачных сред
- Инструменты и подходы к построению безопасности в организации
Модуль 4. Безопасная разработка в рамках SDL‑цикла (12 уроков)
Знакомство с практиками SSDLC на всех этапах разработки, получение навыков проводить статический анализ кода и динамический анализ уязвимостей
- Безопасный цикл разработки
- Дорожная карта SSDLС в организации
- Безопасность на этапах сбора требований и проектирования инфраструктуры
- Безопасность на этапе написания кода
- Статические анализаторы кода (SAST)
- Инструменты анализа сторонних компонентов (SCA)
- Динамический анализ уязвимостей и фаззинг
- Предрелизные проверки безопасности
- Багбаунти
- Vulnerability management
- Security culture & education: самостоятельное развитие разработчика
- Security culture & education: развитие команды