Освоив модуль вы сможете:Профессия специалист по безопасной разработке [2022]
hackeru
Егор Богомолов, Ильдар Садыков, Сергей Боронин
Научитесь создавать безопасные продукты и организовывать защиту существующих. Погрузитесь в мир прикладной информационной безопасности и откройте путь к таким профессиям, как Application Security Expert, Специалист по безопасной разработке, DevSecOps Engineer.
Вы получите навыки, которые повысят вашу стоимость на рынке IT:
1. Проведение анализа защищенности кода и отдельных программных решений.
2. Знание и использование лучших практик в части построения продукта и реализации различных программных механизмов с точки зрения безопасности.
3. Применение инструментов автоматизации поиска уязвимостей и защиты приложения от атак.
4. Проведение обучения и консультаций внутри команды по прикладным аспектам безопасности кода и решений.
5. Умение анализировать инциденты, атаки и уязвимости появляющиеся в окружении продукта.
6. Понимание методологии построения безопасного жизненного цикла разработки ПО.
Спойлер: Содержание
Модуль 1 - Введение в продуктовую безопасность
Модуль 2 - Безопасность окружения приложений
Модуль 3 - Разработка защищенных веб-приложений
Модуль 4 - Средства автоматизации информационной безопасности
Модуль 5. Безопасный цикл разработки ПО
Примечание: на момент создания темы актуальная цена не известна.
Продажник
hackeru
Егор Богомолов, Ильдар Садыков, Сергей Боронин
Научитесь создавать безопасные продукты и организовывать защиту существующих. Погрузитесь в мир прикладной информационной безопасности и откройте путь к таким профессиям, как Application Security Expert, Специалист по безопасной разработке, DevSecOps Engineer.
Вы получите навыки, которые повысят вашу стоимость на рынке IT:
1. Проведение анализа защищенности кода и отдельных программных решений.
2. Знание и использование лучших практик в части построения продукта и реализации различных программных механизмов с точки зрения безопасности.
3. Применение инструментов автоматизации поиска уязвимостей и защиты приложения от атак.
4. Проведение обучения и консультаций внутри команды по прикладным аспектам безопасности кода и решений.
5. Умение анализировать инциденты, атаки и уязвимости появляющиеся в окружении продукта.
6. Понимание методологии построения безопасного жизненного цикла разработки ПО.
Спойлер: Содержание
Модуль 1 - Введение в продуктовую безопасность
- Введение в информационную безопасность
- Концепция и требования безопасной разработки
- Принципы дизайна для безопасной разработки
- Offensive/Defensive практики по безопасной разработке
- Тестирование, развертывание, обслуживание и интеграция
- Понимать процесс разработки продукта с точки зрения информационной безопасности
- Развивать направление продуктовой безопасности в компании
- Реализовывать и обсуждать создание и поддержку процессов продуктовой безопасности при создании, внедрении и реализации продукта
Модуль 2 - Безопасность окружения приложений
- Окружение приложений
- Контейнеризация (Docker, Docker-Compose)
- Управление контейнеризацией (Kubernetes)
- Безопасность Docker-контейнеров
- Безопасность Kubernetes
- Безопасная конфигурация Apache, Nginx
- Облачная архитектура и облачная безопасность AWS
- Обеспечение безопасности AWS IAM
- В данном модуле вы создадите личный проект по безопасности окружения приложений.
- Настраивать и развертывать контейнеры Docker и системы автоматизации развертывания Kubernetes
- Настраивать и работать с сервисами облака AWS
- Обнаруживать основные уязвимости конфигурации веб-серверов Apache и Nginx
- Применять инструменты автоматизации поиска уязвимостей в перечисленных выше системах
Модуль 3 - Разработка защищенных веб-приложений
- Burp Suite
- Уязвимость OS Command injection
- Валидация данных
- Уязвимости аутентификации, безопасная реализация аутентификации и менеджмент паролей,
- Управление сессиями
- Уязвимости Broken Access Control, корректная реализация контроля доступа
- Хранение и передача конфиденциальных данных, Управление конфигурацией
- Уязвимости связанные с файлами, корректное управление файлами
- Уязвимость SQL Injection, Безопасность баз данных
- Уязвимость Server-side template injection
- Небезопасная десериализация
- Уязвимость Server Side Request Forgery и XML External Entity
- Общие практики безопасной разработки
- Уязвимости клиентской части веб-приложений — CSRF, XSS
- Понимать основные уязвимости веб-приложений
- Выявлять уязвимости в коде
- Применять best practice, которые позволят минимизировать вероятность возникновения уязвимостей в вашем коде
- Корректно реализовывать аутентификацию и авторизацию в приложениях
- Использовать базовые инструменты веб-пентестеров
Модуль 4 - Средства автоматизации информационной безопасности
- Решения для защиты продуктов
- Проверка зависимостей
- Применение сканеров уязвимостей
- Применение статических анализаторов кода
- Использование WAF
- Расследование инцидентов и программные решения для безопасного продукта
- Использовать базовый функционал средств защиты, таких как WAF, SAST, DAST
- Распознавать назначение средств защиты и их места в процессе разработки/эксплуатации приложения
Модуль 5. Безопасный цикл разработки ПО
- Без чего не может существовать SSDLC?
- Идеальный SSDLC
- Продукты и интеграция ПО, результаты и работа с результатами
- Как развиваться дальше?
- Организовывать процесс безопасной разработки ПО
- Выявлять, описывать и применять на практике компоненты и составляющие безопасной разработке
- Говорить на одном языке со участниками команды разработчиков и видеть целостный процесс создания безопасного ИТ-продукта
Примечание: на момент создания темы актуальная цена не известна.
Продажник