Благодарим ви, че изпратихте вашето запитване! Един от членовете на нашия екип ще се свърже с вас скоро.
Благодарим ви, че направихте своята резервация! Един от членовете на нашия екип ще се свърже с вас скоро.
Съдържание и теми, включени в курса
Основи на киберсигурността и безопасното кодиране
- Разбиране на триадата CIA: конфиденциалност, целост и достъпност като основни принципи на сигурността
- Чести уязвимости и атаки между езици/платформи (SQLi, XSS, CSRF, SSRF и др.)
- Ролята на безопасния SDLC (Software Development Life Cycle) при превенция, откриване и намаляване на рисковете на ниво код
Уеб сигурност в контекста на Java
- OWASP Top Ten: Съгласуване на индустриалните стандарти с чести грешки в Java
- Намаляване на рисковете от инжектиране: Използване на подготвени изявления, ORM слоеве и параметризирани заявки
- Уязвимости при удостоверяване (счупен управление на сесии, XSS като вектор на атака) и модели за отстраняване на проблеми
- Валидиране на входните данни за по-голяма устойчивост срещу атаки за манипулиране на директории и пътища
Основи на сигурността на Java и дълбоко потапяне в криптографията
- Основни концепции за криптографията: симетрично и асиметрично шифриране, алгоритми за хеширане, дигитални подписи
- Протоколи за сигурна връзка: Най-добри практики за настройка на TLS/SSL в приложенията на Java (HTTPS)
- Практическа лаборатория: Конфигуриране на сигурни връзки между уеб сървъра и бекенд услугите, използвайки SSL/TLS
Услуги за сигурност на Java и функции за корпоративна сигурност
- Използване на вграденото API за сигурност за внедряване на силно удостоверяване (JAAS, KeyStore, CertificatePath, SecureRandom)
- Управление на потребителски сесии с минимален риск от открадване или фиксиране на сесията
- Лаборатория: Внедряване на модели за сигурно управление на сесии и намаляване на рисковете от открадване на бисквитки за сесия
Чести грешки в кодирането и уязвимости в Java
- Разпознаване на несигурни модели в кодирането, които водят до уязвимости при зареждане на класове (CVE-ове, свързани със сериализация, извличане на JAR файлове)
- Предотвратяване на неизползването на рефлексия, което може да доведе до изпълнение на произволен код при повишаване на правата
- Разбиране на въздействието от използването на несигурни рамки за журналиране и намаляване на риска чрез сигурни обработвачи или нива на журналиране
- Практическа лаборатория: Рефакториране на примери за несигурен Java код в сигурни модели (упражнение за рефакториране с FindSecurityBugs)
Криптография на практика и модерни модели за безопасно кодиране
- Практическо шифриране: Проектиране на сигурно управление на ключове, защита на чувствителни данни при предаване и на място
- Хеширане за проверка на целостта: Съхранение на пароли, валидиране на съдържанието на файлове и работни потоци за дигитални подписи
- Лаборатория: Внедряване на сигурно хеширане на данни (SHA-256) за съхранение на пароли и валидиране на съхранените хешове спрямо входните данни
Разширено безопасно кодиране и моделиране на заплахи
- Интегриране на статичен анализ на кода в CI/CD пайплайни, използвайки FindSecurityBugs в Maven/Gradle
- Идентифициране на риска рано в етапа на дизайн чрез работилници за моделиране на заплахи
- Работилница: Прилагане на моделиране на заплахи към примерна Java апликация, приоритизиране на рисковете и внедряване на практики за безопасно кодиране
Финален проект и пътна карта за безопасно кодиране
- Участниците избират реален Java проект (уеб приложение, микросървиз или библиотека)
- Анализ на кодовата база за уязвимости от OWASP Top Ten (инжектиране, счупено удостоверяване, SSI и др.)
- Рефакториране на несигурния код в модели на най-добри практики и внедряване на сигурни конфигурации на услуги
- Документиране на процеса, срещнатите предизвикателства и новите образователни резултати с обзор от колегите и обратна връзка от фасилитатора
Отворено въпроси и отговори, разпределение на ресурси и финален преглед
- Форум за отворени дискусии за разрешаване на общи въпроси за сигурно кодиране, изясняване на сложни концепции и споделяне на практически опит
- Подбрана библиотека с ресурси: OWASP Cheat Sheet за сигурно кодиране в Java (Top Ten), ръководство за рефакториране на FindSecurityBugs и препоръчани библиотеки за сигурно кодиране
- Завършване на курса и поддръжка след обучението за прилагане на новите умения в текущите проекти
Изисквания
- Основни компютърни умения за работа с операционна система на съвременен лаптоп/десктоп и стандартни офис приложения (текстови редактори, таблични калкулатори)
- Не е необходима предишна опитност с програмирането на Java или сигурността; препоръчително е познание на основно ниво за обектно-ориентираните концепции и стандартните работни потоци при уеб разработката
- Готовност за участие в практически упражнения, квизове и анализ на практически случаи за прилагане на придобитите умения
14 Часа
Отзиви от участници (3)
Споделянето на опит е ценно и важно знание на учителя.
Carey Fan - Logitech
Курс - C/C++ Secure Coding
Машинен превод
Че прегледът беше комплексен и включваше контекст, например защо ни са нужни някои анотации и какво означават. Ми хареса практическата част от обучението - изпълняването на командите ръчно и извикването на REST API-то.
Alina - ACCENTURE SERVICES S.R.L
Курс - Quarkus for Developers
Машинен превод
Дополнителната информация, която беше споделена, показа, че обучението не беше стандартно Groovy, което беше приятно.
Covenant - Vodacom
Курс - Groovy Programming
Машинен превод
