Безопасная разработка ПО. Secure Software Development Lifecycle. Advance

Курс является логическим продолжением курса «Безопасная разработка ПО. Secure Software Development Lifecycle. Basic» и предназначен для практического закрепления полученных навыков и уверенного их применения в работе.

Целью курса является формирование и совершенствование знаний и навыков, необходимых для построения безопасного процесса разработки ПО, ознакомление с лучшими мировыми подходами и практиками.

В курсе рассматривается:

Инструменты для внедрения и автоматизации процесса безопасной разработки и их практическое применение.
Автоматизация анализа безопасности окружения приложений
Обнаружение и закрытие типовых уязвимостей и угроз, входящих в список OWASP Top 10 с использование автоматизированных средств.

Целевая аудитория

Разработчики Web и Mobile приложений, имеющие опыт безопасной разработки.
DevOps инженеры
Специалисты DevSecOps и AppSec с опытом работы до 2 лет.

Программа курса

1. Введение в процесс безопасной разработки

2. Требования безопасности согласно этапам SSDLC

Моделирование угроз. Инструменты автоматизации процесса (Threat Dragon, Irius Risk, Microsoft threat modeling tool)
Статический анализ (SonarQube, Checkmarx, Veracode, Fortify, AppScan, GitLab Ultimate). Sast плагины для сред разработки
Динамический анализ (Acunetix, Checkmarx, Rapid7, OWASP Zap, GitLab Ultimate). Fuzzing.
Анализ программных компонентов (GitLab, GitHub, Snyk, OWASP Dependency-Check). SBOM.
Ревью кода
Тестирование на проникновение

3. Угрозы связанные с небезопасной разработкой приложений на примере Owasp Top 10

4. SSDLC и time to market

5. Безопасность окружения.