Практический курс по безопасной разработке

📄 Что такое ИБ?
📄 Кто такой специалист по ИБ?
📄 Роль и компетенции Security Champion
🗣️ Приветственный вебинар

📄 1.1 Необходимость соблюдения законодательства в сфере ИБ и почему это важно для бизнеса.
📄 1.2 PMI и ИБ в Shift-Left подходе. Shift-Left для бизнеса и почему важна роль Security Champion?
▶️ Скринкаст. Описание бережливого стека: пример важности наиболее выгодных для бизнеса решений для поддержки time-to-market.
📄 1.3 Проектное управление. Методологии.
📄 1.4 DevOps Agile Skill Association: методология, компетенции, формирование ценности при построении продукта компании.
📄 1.5 Риск- и бизнес-ориентированный подход Shift-left.
📄 1.6 Риски ИБ. Оценка степени критичности и влияния риска ИБ.
📄 1.7 Пример анализа кейса по бизнес-процессам крипто-платежей.
▶️ Скринкаст. Shift-Left: практическое применение.
✅ Тест
⚙️ Практическая работа. Определение ответственности за нарушение в части ИБ.
⚙️ Практическая работа. Меры митигации рисков ИБ, взаимодействие с бизнесом.
✅ Skill-матрица
🗣️ Вебинар. PMI и ИБ: каким образом происходит взаимодействие с бизнесом при Shift-Left подходе.

📄 2.1 Архитектура, структура приложения и веб-сервисов.
📄 2.2 Описание и принципы построения SDLС. Принципы безопасной архитектуры.
📄 2.3 Software Testing Lyfe Cicle. Модель TMMI.
📄 2.4 Процесс DevSecOps - описание процесса.
📄 2.5 Quality Gate: схема процесса, описание контролей/критериев для конвейера CI/CD. DevSecOps с применением Quality Gate.
📄 2.6 Quality Gate: требования процесса управления критериями качества, подход к управлению рисками в процессе безопасной разработки.
▶️ Скринкаст. Схема цикла SDLС в наложении на DevSecOps. Application Security. Описание UML-схемы интеграции Quality Gate.
▶️ Скринкаст. BPMN DevSecOps: процесс, роли, шаги.
📄 2.7 Quality Gate: User Stories и бизнес логика QG.
📄 2.8 Quality Gate как критерии качества соответствия требованиям ИБ.
▶️ Скринкаст. Quality Gate: имплементация, рекомендации. Разбор примеров UML схемы CI/CD конвейеров для корректного встраивания Quality Gate
⚙️ Практическая работа. Анализ схемы типа property-based.
⚙️ Практическая работа. Описание контролей Quality Gate для конвейера CI/CD своей команды разработки. Action Items. Построение UML схемы с интеграцией сканеров кода.
✅ Тест
✅ Skill-матрица
🗣️ Воркшоп. Разбор и выставление требований ИБ для защиты технического решения.
🗣️ Вебинар. Применимость Quality Gate. Обсуждение BPMN DevSecOps.

📄 3.1 Анализ веб-приложения: уязвимости и атаки.
📄 3.2 Анализ кода на уязвимости: PenTest, Bug Bounty, Secure Code Review.
📄 3.3 Средства защиты информации и виды. Статистический и динамический анализ приложений. Сканеры уязвимостей веб-приложений, сторонних компонентов и зависимостей.
📄 3.4 Методологии поиска уязвимостей.
📄 3.5 Практики безопасной разработки. Оценка уровня зрелости команды в ИБ (BSIMM). DevSecOps в разработке ПО.
📄 3.6 Разбор OWASP TOP 10 (web, mob_app).
✅ Тест
⚙️ Практическая работа. Привести и описать пример атаки на цепочку поставки.
⚙️ Практическая работа. Для приведенного фрагмента кода указать его недостаток, написать рекомендации по его устранению.
⚙️ Практическая работа. Описать XInclude и почему возникает уязвимость XXE при его использовании?
⚙️ Практическая работа. Анализ уязвимости PrintNightmare.
✅ Skill-матрица
🗣️ Вебинар. Разбор практик AppSec. Разбор Secure Check-list и принципов его применения. Secure Code Review. Pentest-as-a-Service.

🗣️ Вебинар. Ответы на вопросы, консультация по выполнению задания.
▶️ Скринкаст. Рекомендации к выполнению дипломной работы.
⚙️ Диплом