Podstawowe zasady tworzenia bezpiecznego kodu

Podstawowe zasady bezpiecznego tworzenia kodu kierowane jest do programistów, devopsów i architektów aplikacji webowych. Szkolenie skupia się na tym, by pomóc odpowiedzieć na kilka trapiących pytań związanych z rozwijaniem aplikacji webowych:

    • Jak zmniejszyć prawdopodobieństwo, że programista napisze niebezpieczny kod i wrzuci go do repozytorium?
    • Jak zminimalizować skutki wykorzystania podatności, jeśli już ktoś taką znajdzie w naszej aplikacji?
    • Jeśli ktoś dokona włamania przez aplikację, co zrobić, żeby je jak najprędzej wykryć i odtworzyć sposób działania napastnika? 

Szkolenie ma charakter praktycznej prezentacji - wszystkie omawiane dobre praktyki i zalecenia będą prezentowane na żywych przykładach. W szkoleniu mogą uczestniczyć programiści wszystkich języków programowania; omawiane praktyki nie są zależne od używanego języka.

Do kogo skierowane jest szkolenie:

    • Do programistów
    • Do devopsów
    • Do architektów aplikacji webowych

Czego nauczysz się podczas szkolenia:

    • Dowiesz się jak zdefiniować wymagania bezpieczeństwa
    • Poznasz techniki przetwarzania danych
    • Poznasz metody zarządzania wersjami zależności
    • Dowiesz się na czym polega zasada najmniejszych uprawnień
    • Poznasz zasady statycznej analizy kodu 
    • Dowiesz się czym są testy regresji do błędów bezpieczeństwa
    • Poznasz podstawowe zasady kryptografii 
    • Poznasz metody logowania i monitorowaniu zdarzeń

Agenda:

  1.               Wymagania bezpieczeństwa
    • Kilka słów o bazach podatności,
    • Skąd czerpać wiedzę,
    • Jak zdefiniować wymagania bezpieczeństwa.
  1.               Przetwarzanie danych
    • Jak walidować dane na wejściu,
    • Enkodowanie/sanityzacja danych na wyjściu.
  1.               Zarządzanie wersjami zależności
    • Jak sprawdzać, czy używane zależności mają znane podatności bezpieczeństwa.
  1.               Zasada najmniejszych uprawnień
    • Na czym polega zasada najmniejszych uprawnień,
    • Przykład 1: minimalizacja skutków ataku SQL Injection przez odpowiednio dobrane uprawnienia,
    • Przykład 2: minimalizacja skutków podatności typu Remote Code Execution przez odpowiednio dobrane uprawnienia.
  1.               Statyczna analiza kodu
    • Czym jest statyczna analiza kodu,
    • Integracja ze środowiskami programistycznymi,
    • Integracja z systemem kontroli wersji.
  1.               Testy regresji do błędów bezpieczeństwa,
  2.               Podstawowe zasady kryptografii
    • Zasady dot. generatorów liczb pseudolosowych,
    • Zasady dot. algorytmów haszujących,
    • Zasady dot. algorytmów szyfrujących.
  1.               Logowanie i monitorowanie zdarzeń
    • Jakie dane należy, a jakich nie należy logować,
    • Systemy zbierające logi,
    • Bieżące monitorowanie logów i wykrywanie anomalii/incydentów.

Przydatne informacje: 

Szkolenie video; wystarczy komputer z dostępem do internetu

Co zawiera cena szkolenia:

    • dostęp do nagrania przez 3 miesiące od zakupu
    • certyfikat uczestnictwa (w pdf) 
    • dokument PDF zawierający podsumowanie najważniejszych koncepcji omawianych na szkoleniu.

O prowadzącym:

Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum. Uczestnik programów bug bounty, wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.

Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).

Posiada ponad 7 lat doświadczenia w testowaniu aplikacji mobilnych i webowych.

Współautor książki „Bezpieczeństwo aplikacji webowych”

Uznany prelegent na konferencjach branżowych: Mega Sekurak Hacking Party, Confidence , SEMAFOR, SECURE, WTH , KrakYourNet, 4Developers, OWASP@Kraków oraz wielu innych. Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.

Poziom zaawansowania:grade grade grade

Prowadzący: Michał Bentkowski

26.05.2022 (zdalnie)

299,00 zł netto + 23% VAT
367,77 zł brutto