Каталог курсов

Курсы Security

Основы безопасного программирования с использованием инструментальных средств анализа программного кода

 
Код курса  Код: PRO MUK01    Заявка  Предварительная запись    Продолжительность  Кол-во часов: 24 , Кол-во дней: 3

Аннотация:

В NTT Security полагают, что качественный, настроенный и ориентированный на безопасность жизненный цикл разработки программного обеспечения (ЦРПО) это ключ к успеху приложений. Наши эксперты по безопасности помогут Вашей команде разработчиков создавать безопасные приложения, встраивая требования безопасности в процесс разработки, начиная с самой первой фазы. .

Что такое безопасный ЦРПО?


Проблемы безопасности в приложениях часто являются следствием недоработок на уровне проектирования, недостаточно высоких стандартов программирования и ошибок программистов. К сожалению, устаревший взгляд, что проверка безопасности должна проводиться только на завершающей стадии, и важна только перед выпуском приложения, все еще очень распространен. Безопасность приложения зависит от успешной интеграции и включения мер обеспечения и требований безопасности в
течение всего цикла разработки программного обеспечения (ЦРПО).

Почему безопасный ЦРПО так важен?


Безопасный ЦРПО предполагает использования стандартов и практик безопасного программирования, позволяя разработчикам лучше понять влияние их решений и быть в курсе, какие части приложения могут стать объектом атаки. Самая лучшая броня - быть дальше, чем расстояние выстрела.

Цель курса:

  • Введение в проблему безопасного программирования.
  • Обучение работы с инструментальными средствами анализа кода Splint

Целевая аудитория: 

  • специалисты служб ИТ и/или ИБ, ответственные за внедрение
программных продуктов, разработчики, тестировщики, программисты.

Пакет слушателя

  • Фирменное учебное пособие в электронном виде.
  • Организационно-распорядительные и методические материалы, на основе которых
  • ведется обучение, дополнительная и справочная информация по тематике курса в
  • электронном виде.

Программа курса


День 1

  • Понятие уязвимости
  • Почему уязвимости опасны, кто и как их эксплуатирует
  • Теоретические сведения и практические примеры уязвимостей в программном коде.
  • Теоретические основы формирования хакерских атак
  • Примеры успешных хакерских атак на систему посредством эксплуатации уязвимостей.
  • Причины возникновения уязвимостей в программном коде.
  • Введение в цикл разработки ПО.
  • Особенности современной разработки и описание типовых сценариев появления уязвимостей в программном коде.
  • Введение в SDLC (secure development lifecycle).

День 2

  • Принципы работы статических анализаторов кода. Чем анализаторы отличаются и как они работают.
  • Сравнение разных статических анализаторов на учебных приложениях (учебные приложения составляются с наглядными уязвимостями, сконцентрированными в небольшом приложении).
  • Принципы анализа кода, внутреннее представление программы для анализа.
  • Правила для описания новых уязвимостей.
  • Повышение качества работы статического анализатора.
  • В практическом блоке упражнений будут предложены задания для сравнения работы разных анализаторов на практике. Сравнение полноты анализа.
  • Статический анализ реальных проектов.
  • Анализ многоязыковых приложений.
  • Правила классификации уязвимостей по приоритетам исправления.
  • Ложные срабатывания (False positive) – теоретическая составляющая: причины возникновения ложных срабатываний.
  • Фильтрация ложных срабатываний.
  • Полнота анализа и пропущенные ошибки (False negative).
  • Настройка HP Fortify с точки зрения различных ролей: разработчик, технический лидер, офицер ИБ.

День 3.

  • Ошибки, которые статический анализатор не находит.
  • Динамический анализ и анализ времени выполнения.
  • Почему нужен Dynamic analysis, если есть static analysis
  • Принцип работы динамического анализатора.
  • Принцип работы анализатора времени выполнения.
  • Какие уязвимости можно обнаружить, какие требования выдвигаются к приложениям, чтобы можно было применять инструментальные средства анализа кода.
  • Демонстрация работы динамического модуля и модуля времени выполнения.
  • Примеры эксплуатации уязвимостей Web-приложений и защита от них посредством использования динамического модуля и модуля времени выполнения.
  • Разработка безопасного ПО с использованием лучших практик
  • Повышение качества разработки ПО при использовании сканеров безопасности
  • Настройка модуля динамического анализа.
  • Настройка модуля времени выполнении приложений.
  • Интеграция инструментальных средств анализа кода с другими инструментальными системами, участвующими в разработке ПО.



Место проведения мероприятия: г. Киев пр., В. Лобановского, 4г Основы безопасного программирования с использованием инструментальных средств анализа программного кода +380444922929
Время проведения: Уточняйте
Ссылка курса обучения
Назад в раздел

Свежие новости

19.06.2017 Авторизованные курсы Microsoft на базе Учебного центра МУК


Учебный центр МУК - Silver Learning Partner Microsoft - приглашает всех желающих стать участником авторизованных курсов Microsoft согласно ближайшего расписания. 

01.06.2017 Открыт набор на курс «Виртуализация серверов с Windows Server Hyper-V и System Center»
Учебный центр МУК обладая статусом Silver Learning Partner Microsoft объявляет набор на курс «Виртуализация серверов с Windows Server Hyper-V и System Center», который состоится с 06 по 09 июня 2017 года.

21.05.2017 Снова лучшие: Dell EMC награждает МУК
Группа компаний МУК получила две награды на Dell EMC Partner Awards 2017

17.05.2017 HPE Education Brunch 2017
Учебный центр Группы компаний MUK при поддержке НРE Украина уже традиционно приглашает желающих стать участниками HPE Education Brunch 2017