ANT3001 - Разработка безопасного П/О

Как устроено обучение

Онлайн-курс

Онлайн-курс предполагает групповые занятия с инструктором через систему видеоконференцсвязи, кроме того, домашние задания и экзамен. Слушателям предоставляются учебные пособия и дополнительные материалы

Для корпоративных клиентов

Обучение для корпоративных клиентов включает в себя онлайн-курсы и курсы самообучения, а также дополнительные сервисы, необходимые корпоративным клиентам: организация планов обучения для подразделений клиента, проведение оценки эффективности обучения и т.д.

Программа курса

Модуль 1. Моделирование угроз п/о.

Методики моделирования угроз.
Методики оценки и управления рисками.
Создание модели угроз п/о.
Оценка и управление рисками при разработке п/о.

Модуль 2. Принципы обеспечения безопасности п/о.

Универсальная модель контроля доступа.
Типы контроля доступа.
Аудит и прослеживаемость выполнения функций.
Мониторинг работы.
Приватность и конфиденциальность.
Многоуровневая безопасность.
Анонимизация.
Аутентификация.
Целостность и аутентичность.

Модуль 3. Выбор технологического стека.

Выбор языка программирования.
Выбор платформы распределенных объектов и взаимодействий.
Выбор ОС.
Выбор технологий аутентификации.
Выбор криптографических библиотек.
Выбор стратегии реализации принципа Defense-in-Depth.

Модуль 4. Использование открытого исходного кода.

Принцип «Security by obscurity».
Преимущества открытого исходного кода.
Инциденты, связанные с открытым исходным кодом.
Недостатки использования открытого исходного кода.

Модуль 5. Принципы разработки безопасного п/о.

Обеспечение безопасности самого слабого элемента.
Defense in Depth.
Обеспечение безопасности при отработке исключений и ошибок.
Использование наименьших привилегий.
Разделение п/о на составные части.
Использование простых функций и компонентов п/о.
Соблюдение приватности при обработке данных.
Сокрытие «секретов».
Обеспечение доверия при взаимодействии функций и компонентов п/о.
Использование возможностей комьюнити разработчиков.
Практики и методы DevSecOps.

Модуль 6. Аудит разрабатываемого п/о.

Анализ архитектуры п/о.
Статический анализ кода.
Динамический анализ кода.
Проведение Code Review.

Модуль 7. Источники уязвимостей и причины их появления.

Buffer overflow.
Race.
Ошибки в конфигурации контроля доступа.
Проблемы генерации случайных чисел.
Ошибки использования криптографических библиотек.

Модуль 8. Доверие и валидация входных данных.

Источники входных данных п/о.
Принципы и механизмы валидации входных данных.
Синтаксическая и семантическая валидация данных.
Сохранение доверия при взаимодействии компонентов п/о.
Организация security-enhanced API.

Модуль 9. Функция аутентификации по паролям.

Хранение паролей и учетных записей.
Добавление учетных записей.
Обеспечение выполнения требований к паролям.
Одноразовые пароли.

Модуль 10. Обеспечение защиты п/о при использовании клиентами.

Схемы защиты право обладания п/о.
Лицензионные файлы и проверка лицензии.
Механизмы защиты от фальсификации.
Обфускация кода.