Podstawowe zasady bezpiecznego tworzenia kodu kierowane jest do programistów, devopsów i architektów aplikacji webowych. Szkolenie skupia się na tym, by pomóc odpowiedzieć na kilka trapiących pytań związanych z rozwijaniem aplikacji webowych:
-
- Jak zmniejszyć prawdopodobieństwo, że programista napisze niebezpieczny kod i wrzuci go do repozytorium?
- Jak zminimalizować skutki wykorzystania podatności, jeśli już ktoś taką znajdzie w naszej aplikacji?
- Jeśli ktoś dokona włamania przez aplikację, co zrobić, żeby je jak najprędzej wykryć i odtworzyć sposób działania napastnika?
Szkolenie ma charakter praktycznej prezentacji - wszystkie omawiane dobre praktyki i zalecenia będą prezentowane na żywych przykładach. W szkoleniu mogą uczestniczyć programiści wszystkich języków programowania; omawiane praktyki nie są zależne od używanego języka.
Do kogo skierowane jest szkolenie:
-
- Do programistów
- Do devopsów
- Do architektów aplikacji webowych
Czego nauczysz się podczas szkolenia:
-
- Dowiesz się jak zdefiniować wymagania bezpieczeństwa
- Poznasz techniki przetwarzania danych
- Poznasz metody zarządzania wersjami zależności
- Dowiesz się na czym polega zasada najmniejszych uprawnień
- Poznasz zasady statycznej analizy kodu
- Dowiesz się czym są testy regresji do błędów bezpieczeństwa
- Poznasz podstawowe zasady kryptografii
- Poznasz metody logowania i monitorowaniu zdarzeń
Agenda:
- Wymagania bezpieczeństwa
-
- Kilka słów o bazach podatności,
- Skąd czerpać wiedzę,
- Jak zdefiniować wymagania bezpieczeństwa.
- Przetwarzanie danych
-
- Jak walidować dane na wejściu,
- Enkodowanie/sanityzacja danych na wyjściu.
- Zarządzanie wersjami zależności
-
- Jak sprawdzać, czy używane zależności mają znane podatności bezpieczeństwa.
- Zasada najmniejszych uprawnień
-
- Na czym polega zasada najmniejszych uprawnień,
- Przykład 1: minimalizacja skutków ataku SQL Injection przez odpowiednio dobrane uprawnienia,
- Przykład 2: minimalizacja skutków podatności typu Remote Code Execution przez odpowiednio dobrane uprawnienia.
- Statyczna analiza kodu
-
- Czym jest statyczna analiza kodu,
- Integracja ze środowiskami programistycznymi,
- Integracja z systemem kontroli wersji.
- Testy regresji do błędów bezpieczeństwa,
- Podstawowe zasady kryptografii
-
- Zasady dot. generatorów liczb pseudolosowych,
- Zasady dot. algorytmów haszujących,
- Zasady dot. algorytmów szyfrujących.
- Logowanie i monitorowanie zdarzeń
-
- Jakie dane należy, a jakich nie należy logować,
- Systemy zbierające logi,
- Bieżące monitorowanie logów i wykrywanie anomalii/incydentów.
Przydatne informacje:
Godziny szkolenia: 9:00-13:00 (z włączeniem dwóch 10-minutowych przerw)
Szkolenie video; wystarczy komputer z dostępem do internetu
Co zawiera cena szkolenia:
-
- dostęp do nagrania przez 3 miesiące od zakupu
- certyfikat uczestnictwa (w pdf)
- dokument PDF zawierający podsumowanie najważniejszych koncepcji omawianych na szkoleniu.
O prowadzącym:
Michał Bentkowski jest konsultantem d/s bezpieczeństwa IT w firmie Securitum. Uczestnik programów bug bounty, wysokie miejsce w globalnym rankingu Hall of Fame Google – Application Security). W swojej karierze lokalizował błędy klienckie w domenie google.com czy Google Docs – zgłoszonych przeszło 20 błędów z pulą wypłaty przeszło 60 tysięcy USD.
Zgłoszone błędy bezpieczeństwa w przeglądarkach: Firefox, Internet Explorer (zob. np. ominięcie Same Origin Policy w Firefox; Microsoft Browser Elevation of Privilege Vulnerability – CVE-2015-6139).
Posiada ponad 7 lat doświadczenia w testowaniu aplikacji mobilnych i webowych.
Współautor książki „Bezpieczeństwo aplikacji webowych”.
Uznany prelegent na konferencjach branżowych: Mega Sekurak Hacking Party, Confidence , SEMAFOR, SECURE, WTH , KrakYourNet, 4Developers, OWASP@Kraków oraz wielu innych. Autor tekstów w serwisie: sekurak.pl, sekurak/offline oraz w magazynie Programista.