Zdalne szkolenie: "Podstawowe zasady tworzenia bezpiecznego kodu" (24.07.2020, 11:00).

Michał Bentkowski Szkolenie: "Podstawowe zasady tworzenia bezpiecznego kodu" prowadzone przez Michała Bentkowskiego. Michał na co dzień jest pentesterem, trenerem, badaczem bezpieczeństwa oraz współautorem książki "Bezpieczeństwo aplikacji webowych". 

Mieliście go okazję słuchać na licznych konferencjach: MEGA SHP (2019), Confidence (2019, 2018), SEMAFOR (2019), SECURE (2019, 2018), WTH (2019), KrakYourNet (2016), 4Developers (2016), OWASP@Kraków (2015).  

O szkoleniu

Szkolenie trwa cztery godziny (z włączeniem dwóch 10-minutowych przerw). Będzie możliwość również oglądnięcia zapisu video kursu do 72h po szkoleniu.

Podstawowe zasady bezpiecznego tworzenia kodu kierowane jest do programistów, devopsów i architektów aplikacji webowych. Szkolenie będzie skupiać się na tym, by pomóc odpowiedzieć na kilka trapiących pytań związanych z rozwijaniem aplikacji webowych:

  • Jak zmniejszyć prawdopodobieństwo, że programista napisze niebezpieczny kod i wrzuci go do repozytorium?
  • Jak zminimalizować skutki wykorzystania podatności, jeśli już ktoś taką znajdzie w naszej aplikacji?
  • Jeśli ktoś dokona włamania przez aplikację, co zrobić, żeby je jak najprędzej wykryć i odtworzyć sposób działania napastnika?

Szkolenie będzie miało charakter praktycznej prezentacji - wszystkie omawiane dobre praktyki i zalecenia będą prezentowane na żywych przykładach. W szkoleniu mogą uczestniczyć programiści wszystkich języków programowania; omawiane praktyki nie są zależne od używanego języka.

Szkolenie trwa cztery godziny (z włączeniem dwóch 10-minutowych przerw).

Agenda:

  1. Wymagania bezpieczeństwa
    • Kilka słów o bazach podatności,
    • Skąd czerpać wiedzę,
    • Jak zdefiniować wymagania bezpieczeństwa
  2. Przetwarzanie danych
    • Jak walidować dane na wejściu,
    • Enkodowanie/sanityzacja daych na wyjściu,
  3. Zarządzanie wersjami zależności
    • Jak sprawdzać, czy używane zależności mają znane podatności bezpieczeństwa,
  4. Zasada najmniejszych uprawnień
    • Na czym polega zasada najmniejszych uprawnień,
    • Przykład 1: minimalizacja skutków ataku SQL Injection przez odpowiednio dobrane uprawnienia,
    • Przykład 2: minimalizacja skutków podatności typu Remote Code Execution przez odpowiednio dobrane uprawnienia,
  5. Statyczna analiza kodu
    • Czym jest statyczna analiza kodu,
    • Integracja ze środowiskami programistyczymi,
    • Integracja z systemem kontroli wersji,
  6. Testy regresji do błędów bezpieczeństwa,
  7. Podstawowe zasady kryptografii
    • Zasady dot. generatorów liczb pseudolosowych,
    • Zasady dot. algorytmów haszujących,
    • Zasady dot. algorytmów szyfrujących,
  8. Logowanie i monitorowanie zdarzeń
    • Jakie dane należy, a jakich nie należy logować,
    • Systemy zbierające logi,
    • Bieżące monitorowanie logów i wykrywanie anomalii/incydentów

Dodatkowo, po szkoleniu zostanie dostarczony dokument PDF zawierający podsumowanie najważniejszych koncepcji omawianych na szkoleniu.


Data dodania: 24 maj 2020
Ostatnia aktualizacja: 26 cze 2020