Drošas programmatūras izstrāde programmētājiem

Attīstoties tehnoloģijām, pieaug arī aplikāciju sarežģītība un, nenoliedzami, pieaug arī potenciālo uzbrukumu dažādība. Strādājot izstrādē, ir svarīgi apzināties riskus, kādiem ir pakļautas mūsdienu aplikācijas, lai arī ne vienmēr tam tiek atvēlēts laiks. Tāpēc, lai palielinātu jūsu izstrādes komandas darba kvalitāti un novērstu izstrādājamā programmnodrošinājuma ievainojamības, mēs piedāvājam ieskatu hakeru ikdienā – “īsu pamācību laušanā” jeb drošas programmatūras izstrādes apmācību programmētajiem.

Šī kursa ietvaros iepazīstināsim jūsu komandu ar izplatītākajām ievainojamībām, kādas tiek konstatētas darbā IT drošības nozarē. Izskaidrosim drošības skata punktu – respektīvi, kā tiek veikta drošības testēšana, kādi rīki tiek izmantoti un kādas ir to iespējas. Ar piemēriem demonstrēsim reālus gadījumus, kuros maza nianse var tikt izmantota ļaunprātīgi, kā rezultātā ļaundaris var iegūt neautorizētu piekļuvi informācijas sistēmai un datiem.

Kurss tiks veikts kā seminārs – lai arī programma sastāv no vairākām daļām, klausītājiem būs iespēja uzdot jautājumus un diskutēt par redzēto. Kurss ir balstīts pēc OWASP vadlīnijām, kuras tiek izmantotas drošības testēšanā, taču iekļauj arī labākās prakses piemērus API drošībā. Apspriestas tiks sekojošas tēmas:

1. Drošības testēšanas process;
2. OWASP praksē:
   • Autentifikācija un sesiju pārvaldība
   • Injekcijas un datu validācija
   • XSS
   • Tieša piekļuve resursiem
   • Konfigurācijas nepilnības
   • Sensitīvu datu izpaušana
   • Autorizācijas nepilnības
   • CSRF
   • Publiski zināmas ievainojamības
   • Nepietiekama redirektu validācija
   • Publiski pieejama informācija
   • API drošība

1. Lielāka izpratne par aplikāciju drošību un iespējamiem riskiem.
2. Lielāka izpratne par drošības testēšanas procesu, rīkiem.
3. Drošāks kods, izmaksu samazinājums.
4. Augstāka klientu apmierinātība.