Каталог курсов

Курсы Security

Основы безопасного программирования с использованием инструментальных средств анализа программного кода

 
Код курса  Код: PRO MUK01    Заявка  Предварительная запись    Продолжительность  Кол-во часов: 24 , Кол-во дней: 3


Аннотация:

В NTT Security полагают, что качественный, настроенный и ориентированный на безопасность жизненный цикл разработки программного обеспечения (ЦРПО) это ключ к успеху приложений. Наши эксперты по безопасности помогут Вашей команде разработчиков создавать безопасные приложения, встраивая требования безопасности в процесс разработки, начиная с самой первой фазы. .

Что такое безопасный ЦРПО?


Проблемы безопасности в приложениях часто являются следствием недоработок на уровне проектирования, недостаточно высоких стандартов программирования и ошибок программистов. К сожалению, устаревший взгляд, что проверка безопасности должна проводиться только на завершающей стадии, и важна только перед выпуском приложения, все еще очень распространен. Безопасность приложения зависит от успешной интеграции и включения мер обеспечения и требований безопасности в
течение всего цикла разработки программного обеспечения (ЦРПО).

Почему безопасный ЦРПО так важен?


Безопасный ЦРПО предполагает использования стандартов и практик безопасного программирования, позволяя разработчикам лучше понять влияние их решений и быть в курсе, какие части приложения могут стать объектом атаки. Самая лучшая броня - быть дальше, чем расстояние выстрела.

Цель курса:

  • Введение в проблему безопасного программирования.
  • Обучение работы с инструментальными средствами анализа кода Splint

Целевая аудитория: 

  • специалисты служб ИТ и/или ИБ, ответственные за внедрение
программных продуктов, разработчики, тестировщики, программисты.

Пакет слушателя

  • Фирменное учебное пособие в электронном виде.
  • Организационно-распорядительные и методические материалы, на основе которых
  • ведется обучение, дополнительная и справочная информация по тематике курса в
  • электронном виде.

Программа курса


День 1

  • Понятие уязвимости
  • Почему уязвимости опасны, кто и как их эксплуатирует
  • Теоретические сведения и практические примеры уязвимостей в программном коде.
  • Теоретические основы формирования хакерских атак
  • Примеры успешных хакерских атак на систему посредством эксплуатации уязвимостей.
  • Причины возникновения уязвимостей в программном коде.
  • Введение в цикл разработки ПО.
  • Особенности современной разработки и описание типовых сценариев появления уязвимостей в программном коде.
  • Введение в SDLC (secure development lifecycle).

День 2

  • Принципы работы статических анализаторов кода. Чем анализаторы отличаются и как они работают.
  • Сравнение разных статических анализаторов на учебных приложениях (учебные приложения составляются с наглядными уязвимостями, сконцентрированными в небольшом приложении).
  • Принципы анализа кода, внутреннее представление программы для анализа.
  • Правила для описания новых уязвимостей.
  • Повышение качества работы статического анализатора.
  • В практическом блоке упражнений будут предложены задания для сравнения работы разных анализаторов на практике. Сравнение полноты анализа.
  • Статический анализ реальных проектов.
  • Анализ многоязыковых приложений.
  • Правила классификации уязвимостей по приоритетам исправления.
  • Ложные срабатывания (False positive) – теоретическая составляющая: причины возникновения ложных срабатываний.
  • Фильтрация ложных срабатываний.
  • Полнота анализа и пропущенные ошибки (False negative).
  • Настройка HP Fortify с точки зрения различных ролей: разработчик, технический лидер, офицер ИБ.

День 3.

  • Ошибки, которые статический анализатор не находит.
  • Динамический анализ и анализ времени выполнения.
  • Почему нужен Dynamic analysis, если есть static analysis
  • Принцип работы динамического анализатора.
  • Принцип работы анализатора времени выполнения.
  • Какие уязвимости можно обнаружить, какие требования выдвигаются к приложениям, чтобы можно было применять инструментальные средства анализа кода.
  • Демонстрация работы динамического модуля и модуля времени выполнения.
  • Примеры эксплуатации уязвимостей Web-приложений и защита от них посредством использования динамического модуля и модуля времени выполнения.
  • Разработка безопасного ПО с использованием лучших практик
  • Повышение качества разработки ПО при использовании сканеров безопасности
  • Настройка модуля динамического анализа.
  • Настройка модуля времени выполнении приложений.
  • Интеграция инструментальных средств анализа кода с другими инструментальными системами, участвующими в разработке ПО.



Ссылка курса обучения
Назад в раздел

Свежие новости

14.06.2018 Анонс авторизованных курсов Oracle на базе Учебного центра МУК

Учебный центр МУК - Oracle Authorized Education Center – приглашает всех желающих стать участниками авторизованных курсов Oracle

11.06.2018 Приходи на The Phoenix Project DevOps business simulation
Приглашение для участия в деловой игре «Проект Феникс» совместно с HPE Ukraine на базе Учебного центра МУК

22.05.2018 ПОЛУЧИТЕ-40 % НА АВТОРИЗОВАННЫЕ КУРСЫ IBM*

*акционная стоимость распространяется на курсы, которые указаны в данной новости

13.05.2018 PeopleCert – новый провайдер экзаменов Axelos (ITIL®, PRINCE2®, MSP®, M_o_R®, MoP®)
Учебный центр МУК сертифицирован на предоставление авторизованных курсов ITIL в рамках партнёрства с HPE