SDLC- Bezpieczny cykl rozwojowy oprogramowania

Cele szkolenia:

• Pełne omówienie Bezpiecznego cyklu rozwojowego oprogramowania (SDLC – Secure Development Lifecycle)
  
• Praktyczne zapoznanie się z zastosowaniem elementów z cyklu projektowania zabezpieczeń w odniesieniu do wiodących metodyk bezpiecznego procesu wytwórczego oprogramowania

Po zakończeniu szkolenia uczestnik powinien:

• Znać najlepsze praktyki stosowania SDLC
  
• Znać strukturę i sposób nawigacji po SDLC
  
• Znać korzyści ze świadomego stosowania praktyk SDLC w projekcie rozwoju oprogramowania

Zagadnienia poruszane na szkoleniu:

Moduł metodyczny szkolenia – 2 dni: Składniki (Poziomy) Bezpiecznego cyklu rozwoju oprogramowania (SDLC):

• Poziom 0 - Budowanie Świadomości. Edukacja ciągła. Śledzenie zgodności z SDLC. Mierniki wiedzy. Implementacje szkoleń.
  
• Poziom 1 - Tworzenie Projektu. Potwierdzenie uczestnictwa aplikacji w procesie zgodności z SDLC. Wskazanie doradcy ds. bezpieczeństwa. Prowadzenie spotkań. Przegląd modeli zagrożeń. Analiza błędów zabezpieczeń i ochrony prywatności. Powołanie zespołu kierowniczego ds. bezpieczeństwa. Rewizja śledzonych błędów. Kryteria oceny błędów.
  
• Poziom 2 - Definiowanie i zastosowanie najlepszych praktyk. Zasady bezpiecznego programowania. Analiza i redukcja pola ataku. Ograniczanie praw dostępu do składników oprogramowania.
  
• Poziom 3 - Ocena ryzyka produktu. Budowa i analiza kwestionariusza oceny ryzyka. Wskaźniki wpływu na prywatność.
  
• Poziom 4 - Analiza ryzyka. Składniki procesu modelowania zagrożeń. Budowa modelu zagrożeń. Proces modelowania zagrożeń (scenariusze użycia, zależności zewnętrzne, założenia bezpieczeństwa, odnotowywanie uwag o bezpieczeństwie, diagramy przepływu danych, ustalanie rodzajów zagrożeń, rozpoznawanie zagrożeń, ustalanie ryzyka, planowanie środków minimalizujących skutki).
  
• Poziom 5 - Tworzenie dokumentacji, narzędzi i metod zabezpieczeń. Dokumentacja i narzędzia. Dokumentacja składników wydania w ujęciu najlepszych praktyk i metod zabezpieczeń. Tworzenie narzędzi.
  
• Poziom 6 - Zasady bezpiecznego programowania. Wersje kompilatorów i narzędzi otoczenia. Zabezpieczenia wbudowane w kompilatory. Analiza kodu źródłowego. Wskazanie zakazanych funkcji. Lista kontrolna bezpiecznego programowania.
  
• Poziom 7 - Zasady bezpiecznego testowania. Metody testowania zabezpieczeń (fuzzing, pen-testing). Weryfikacja wykonania testów. Kontrola i aktualizacja modeli zagrożeń. Ponowna ocena pola ataku na oprogramowanie.
  
• Poziom 8 - Kampania bezpieczeństwa. Przygotowania czas trwania kampanii w projekcie. Szkolenia i przeglądy kodu. Aktualizacja modeli zagrożeń. Testowanie zabezpieczeń. Dopracowanie pola ataku. Dopracowanie dokumentacji.
  
• Poziom 9 - Końcowy przegląd bezpieczeństwa. Koordynacja działań zespołu. Przegląd modeli zagrożeń. Przegląd niepoprawionych błędów zabezpieczeń. Kontrola stosowanych narzędzi. Wyjątki i ich opracowanie.
  
• Poziom 10 - Planowanie reakcji na incydenty bezpieczeństwa. Powody planowania. Przygotowanie sposobu reakcji. Relacja wobec zespołu wytwarzającego oprogramowanie. Wsparcie odbiorców. Zapewnienie aktualizacji produktu.
  
• Poziom 11 - Publikacja produktu.
  
• Poziom 12 - Reakcja na incydenty bezpieczeństwa w praktyce. Postępowanie zgodne z planem. Ustalanie sposobu działania. Ocena elementów możliwych do pominięcia. Priorytety reakcji.

Moduł praktyczny szkolenia - 1 dzień :

• Laboratorium implementacji SDLC w Microsoft .NET, lub
  
• Laboratorium implementacji SDLC w Java

Wymagania wstępne:

• Podstawowa znajomość zasad programowania w zespołach projektowych
• Znajomość języka angielskiego na poziomie umożliwiającym czytanie i rozumienie dokumentacji technicznej

Zobacz też:

• SDLC – Wprowadzenie do bezpiecznego cyklu rozwoju oprogramowania