Каталог курсов

Курсы Security

Основы безопасного программирования с использованием инструментальных средств анализа программного кода

 
Код курса  Код: PRO MUK01    Заявка  Предварительная запись    Продолжительность  Кол-во часов: 24 , Кол-во дней: 3


Аннотация:

В NTT Security полагают, что качественный, настроенный и ориентированный на безопасность жизненный цикл разработки программного обеспечения (ЦРПО) это ключ к успеху приложений. Наши эксперты по безопасности помогут Вашей команде разработчиков создавать безопасные приложения, встраивая требования безопасности в процесс разработки, начиная с самой первой фазы. .

Что такое безопасный ЦРПО?


Проблемы безопасности в приложениях часто являются следствием недоработок на уровне проектирования, недостаточно высоких стандартов программирования и ошибок программистов. К сожалению, устаревший взгляд, что проверка безопасности должна проводиться только на завершающей стадии, и важна только перед выпуском приложения, все еще очень распространен. Безопасность приложения зависит от успешной интеграции и включения мер обеспечения и требований безопасности в
течение всего цикла разработки программного обеспечения (ЦРПО).

Почему безопасный ЦРПО так важен?


Безопасный ЦРПО предполагает использования стандартов и практик безопасного программирования, позволяя разработчикам лучше понять влияние их решений и быть в курсе, какие части приложения могут стать объектом атаки. Самая лучшая броня - быть дальше, чем расстояние выстрела.

Цель курса:

  • Введение в проблему безопасного программирования.
  • Обучение работы с инструментальными средствами анализа кода Splint

Целевая аудитория: 

  • специалисты служб ИТ и/или ИБ, ответственные за внедрение
программных продуктов, разработчики, тестировщики, программисты.

Пакет слушателя

  • Фирменное учебное пособие в электронном виде.
  • Организационно-распорядительные и методические материалы, на основе которых
  • ведется обучение, дополнительная и справочная информация по тематике курса в
  • электронном виде.

Программа курса


День 1

  • Понятие уязвимости
  • Почему уязвимости опасны, кто и как их эксплуатирует
  • Теоретические сведения и практические примеры уязвимостей в программном коде.
  • Теоретические основы формирования хакерских атак
  • Примеры успешных хакерских атак на систему посредством эксплуатации уязвимостей.
  • Причины возникновения уязвимостей в программном коде.
  • Введение в цикл разработки ПО.
  • Особенности современной разработки и описание типовых сценариев появления уязвимостей в программном коде.
  • Введение в SDLC (secure development lifecycle).

День 2

  • Принципы работы статических анализаторов кода. Чем анализаторы отличаются и как они работают.
  • Сравнение разных статических анализаторов на учебных приложениях (учебные приложения составляются с наглядными уязвимостями, сконцентрированными в небольшом приложении).
  • Принципы анализа кода, внутреннее представление программы для анализа.
  • Правила для описания новых уязвимостей.
  • Повышение качества работы статического анализатора.
  • В практическом блоке упражнений будут предложены задания для сравнения работы разных анализаторов на практике. Сравнение полноты анализа.
  • Статический анализ реальных проектов.
  • Анализ многоязыковых приложений.
  • Правила классификации уязвимостей по приоритетам исправления.
  • Ложные срабатывания (False positive) – теоретическая составляющая: причины возникновения ложных срабатываний.
  • Фильтрация ложных срабатываний.
  • Полнота анализа и пропущенные ошибки (False negative).
  • Настройка HP Fortify с точки зрения различных ролей: разработчик, технический лидер, офицер ИБ.

День 3.

  • Ошибки, которые статический анализатор не находит.
  • Динамический анализ и анализ времени выполнения.
  • Почему нужен Dynamic analysis, если есть static analysis
  • Принцип работы динамического анализатора.
  • Принцип работы анализатора времени выполнения.
  • Какие уязвимости можно обнаружить, какие требования выдвигаются к приложениям, чтобы можно было применять инструментальные средства анализа кода.
  • Демонстрация работы динамического модуля и модуля времени выполнения.
  • Примеры эксплуатации уязвимостей Web-приложений и защита от них посредством использования динамического модуля и модуля времени выполнения.
  • Разработка безопасного ПО с использованием лучших практик
  • Повышение качества разработки ПО при использовании сканеров безопасности
  • Настройка модуля динамического анализа.
  • Настройка модуля времени выполнении приложений.
  • Интеграция инструментальных средств анализа кода с другими инструментальными системами, участвующими в разработке ПО.



Ссылка курса обучения
Назад в раздел

Свежие новости

28.11.2017 Внимание! Специальное предложение «CheckPoint Cyber Monday exam 25% discount»
Учебный центр МУК, обладая статусом Check Point Authorized Training Center

20.11.2017 Расписание Учебного центра МУК 2018
До конца 2017 года осталось 6 недель, самое время начинать планировать следующий год

13.11.2017 Бесплатные практические вебинары MICROSOFT
Приглашение на бесплатные практические вебинары "Portal and billing MUK CSP" и "Trials and reseller’s Storefront" для партеров на базе Учебного центра МУК

06.11.2017 Со скидкой 20,18% на все курсы IBM с Учебным центром МУК в 2018 год

Планируйте курсы IBM на 2018 год вместе с нами до 31 декабря 2017 и получайте скидку 20,18%.