Cíle kurzu
Účastníci se seznámí se základními principy v oblasti aplikační bezpečnosti. Obeznámí se slegislativními požadavky na aplikace, postupy při vývoji software, metodikami a trendy v oblasti vývoje. Budou schopni definovat pravidla pro bezpečné programování a testování. Kurz klade důraz na představení útoků na aplikace a obranu proti nim, problematiku penetračního testování, dynamické a statické analýzy kódu, odhalování a hodnocení zranitelností. Součástí kurzu jsou také praktické úkazky útoků na aplikace, které mohou účastníci využít ve svém zaměstnání.Obsah kurzu
Legislativní požadavky - Požadavky na aplikace dle zákona a vyhlášky o kybernetické bezpečnosti Bezpečný vývoj - Vývoj software – vývojový cyklus, DevOps/DevSecOps, testování - Metodiky a standardy – ISO, NIST, OWASP a další - Bezpečné programování – školení vývojářů, certifikace, best practice, - Modelování hrozeb – nástroje, návrhové vzory a řízení dodavatelů Anatomie aplikace - Webové aplikace – komponenty, webová aplikace vs desktop - Komunikace a šifrování – HTTP/HTTPs protokol, SSL a TLS - Útoky a obrana – HTTP DoS, WAF, praktické ukázky zranitelností a útoků Zranitelnosti a jejich odhalování - Označování a hodnocení zranitelností – attack surface, CWE, CVSS - Detekce zranitelností – audit kódu, automatizované nástroje výhody a nevýhody - Penetrační testy, Vulnerability Management a Red Teaming Bezpečnostní architektura - UML diagramy a best practisePředpoklady
- Základní přehled v oblasti kybernetické bezpečnosti, základní znalosti v rámci oblasti ITStudijní materiály
- Ke kurzu bude k dispozici prezentace v PDF formátu.