Безопасное программирование
0 0
Забронировать курс
Спасибо за интерес к нашему курсу! Обратитесь через форму «Запросить информацию» для получения более точной информации о датах обучения.
-
Аннотация
-
Описание образовательной программы
Безопасное программирование охватывает основные принципы безопасности и уязвимости программного обеспечения, вызванные небезопасным кодированием в рамках SDLC.
На курсе рассматриваются подходы и технологии, направленные на снижение числа ошибок в коде, особенно таких, которые можно использовать как бреши в его безопасности. Также рассматриваются успешные действия agile-команд и лучшие практики от лидеров рынка (Microsoft, Google).
После изучения курса слушатели будут:
Знать: основные понятия и терминологию в области безопасности
Уметь: разрабатывать, проектировать и поддерживать приложения, используя методы обеспечения безопасности в разрабатываемом коде.
Владеть: навыками безопасного программирования и основами анализа и проектирования безопасности
Целевая аудитория
Разработчики, дизайнеры и архитекторы ПО со стажем работы не менее одного года
Расписание
Defensive Programming
- Сокращение числа ошибок в ПО
- Создание отчуждаемого исходного кода
- Практика: Разбор примеров оформления исходного кода и влияния стандартов кодирования на читаемость программ, лёгкость их поддержки и развития
- ПО должно вести себя предсказуемо, несмотря на неожиданные вводные данные или действия пользователя
- Практика: Разбор примеров непредсказуемого поведения ПО и способов исправления ситуации
Типичные ошибки в ПО
- Переполнение буфера
- Уязвимости форматной строки
- Некорректная аутентификация
- Проблемы с авторизацией
- Авторизация проведена некорректно
- Слишком много доверия к пользовательскому вводу
- Ошибки канонизации
- Практика: Разбор примеров кода, содержащего типовые ошибки, и способов их исправления
Проблемы криптографии
- Слабые криптоалгоритмы: DES, Triple DES, RC4 и MPPE
- Слабые hash-функции: LM-hash, MD2, MD4 и MD5
- Хранение ключевой информации в контейнере
- Хранение ключевой информации в памяти
- Практика: Обсуждение проблем безопасности, связанных с криптографией, и их решение
Проектирование по контракту
- Возможные типы входных данных и их значение
- Типы возвращаемых данных и их значение
- Условия возникновения исключений, их типы и значения
- Присутствие побочного эффекта метода
- Предусловия, которые могут быть ослаблены (но не усилены) в подклассах
- Постусловия, которые могут быть усилены (но не ослаблены) в подклассах
- Инварианты, которые могут быть усилены (но не ослаблены) в подклассах
- Гарантии производительности, например, временная сложность или сложность по памяти
- Практика: Разбор примеров, использующих данный подход
DevOps
- Проектирование
- Система работы с требованиями
- CASE-средства
- Разработка
- Система контроля версий
- Среда разработки
- Тестирование
- Баг-трекер
- Система автоматизации функционального тестирования
- Эксплуатация
- Ansible
- Практика: Построение интегрированной инфраструктуры проекта и сокращение сроков выхода релиза
Методологии создания ПО
- Waterfall
- RATIONAL UNIFIED PROCESS (RUP)
- Microsoft Solution Framework (MSF)
- Гибкие методологии (Agile)
- Экстремальное программирование (XP)
- Scrum
- Kanban
- Практика: Обсуждение сильных и слабых сторон каждой из методологий с позиций исключения уязвимостей и устойчивости ко взлому
Требования безопасного программирования
- Все данные важны, пока не доказано обратное
- Все данные испорчены, пока не доказано обратное
- Весь код небезопасен, пока не доказано обратное
- Практика: Разбор примеров, иллюстрирующих данные требования
Введение в функциональное тестирование
- Факторы качества ПО
- Аспекты качества ПО
- Управление качеством продукта
- Отладка и тестирование
- Жизненный цикл тестирования
- Виды тестирования
- Критерии черного ящика
- Критерии белого ящика
- Взаимосвязь требований к ПО
- Документы, создаваемые в процессе тестирования
- План тестирования
- Критерии начала и окончания тестирования
- Тест-дизайн
- Тестовые случаи (Test Cases)
- Жизненный цикл дефекта
- Покрытие входных данных
- Эквивалентное разбиение
- Модуль-драйвер и модуль-заглушка при тестировании программ
- Методы тестирования: блочное, интеграционное и системное
- Покрытие кода тестами
- Тестирование безопасности
- Практика: Подготовка плана тестирования и тестовых случаев
Автоматизированное функциональное тестирование
- Проблемы автоматизации
- Этапы автоматизированного функционального тестирования
- Этап исследования и разработки пилотных автоматических тестов
- Анализ и планирование
- Подготовка тестовой среды и тестовых данных
-
Получаемый документ
-
Необходимая подготовка
- Навыки программирования, желательно на C/C++
- Навыки работы без фреймворков
- Понимание концепций функционирования операционных систем
-
Цель курса
Формирование знаний и навыков, необходимых для безопасной разработки программного обеспечения, на примере использования C/C++
Преподаватели
0 отзывов
Об этом курсе отзывов пока нет. Будьте первым.
Чтобы оставить отзыв необходимо авторизоваться на сайте или зарегистрироваться.