Szkolenie: Bezpieczeństwo aplikacji dla deweloperów
Szkolenie "Bezpieczeństwo aplikacji dla deweloperów" koncentruje się na praktycznych aspektach bezpieczeństwa aplikacji z perspektywy dewelopera. Uczestnicy nauczą się identyfikować i eliminować typowe luki bezpieczeństwa w kodzie, wdrażać bezpieczne mechanizmy uwierzytelniania i autoryzacji, korzystać z kryptografii oraz chronić komunikację między komponentami aplikacji/usługami. Zakres szkolenia obejmuje także elementy bezpiecznego uruchamiania aplikacji w kontenerach i Kubernetes.
- Trenerzy praktycy
- Kameralne grupy
Czas trwania szkolenia:3 dni (24h)
Kod kursu:SEC/DEV
Dostępne terminy szkolenia
Termin:
Trener:
Cena:
2550 PLN netto
Lokalizacja:
ZdalneTermin:
Trener:
Cena:
2550 PLN nettoLokalizacja:
ZdalneBezpieczeństwo aplikacji dla deweloperów
Cele szkolenia
Poznanie typowych wektorów ataku oraz technik wykrywania luk w kodzie z wykorzystaniem narzędzi takich jak Semgrep i SonarLint, a także testów regresyjnych dla ataków typu XSS, SQL Injection i IDOR
Stosowanie dobrych praktyk Secure Coding w oparciu o OWASP Top 10 i CWE, z naciskiem na eliminację najczęstszych podatności aplikacyjnych
Praktyczne zastosowanie nowoczesnej kryptografii w aplikacjach: HMAC, AES-GCM, RSA, ECC, JWT, JWS i JWE
Wdrażanie mechanizmów uwierzytelniania i autoryzacji opartych na OAuth2, PKCE, OpenID Connect, WebAuthn, magic links, a także RBAC i autoryzacji opartej na atrybutach i relacjach
Zapewnienie bezpiecznej komunikacji między komponentami aplikacji przy użyciu TLS 1.3, mTLS, certyfikatów X.509, SPIFFE i mechanizmów propagacji tożsamości użytkownika
Projektowanie aplikacji typu multitenant z bezpieczną separacją tenantów (tenant_id), poprawnym zarządzaniem sesjami, wylogowaniem oraz ochroną przed session fixation
Zabezpieczenie środowisk kontenerowych (Docker / Kubernetes): analiza zagrożeń w kontenerach, bezpieczne zarządzanie secrets, wykorzystanie K8s ServiceAccount, token review API i standardów takich jak SBOM, SCA czy SLSA
Dla kogo?
Programistów, którzy chcą świadomie projektować i implementować bezpieczne aplikacje
Zespoły deweloperskie rozwijające produkty SaaS, systemy przetwarzające dane wrażliwe lub aplikacje dla klientów biznesowych
Programistów pracujących w środowiskach chmurowych i kontenerowych, którzy chcą rozumieć zagrożenia i zabezpieczenia z poziomu aplikacji
Developerów, którzy chcą lepiej współpracować z zespołami bezpieczeństwa, rozumieć wyniki testów security i wdrażać poprawki we własnym kodzie
Zalety
W pełni praktyczny charakter – minimum teorii, maksimum pracy z rzeczywistym kodem oraz przykładami podatności wykrywanych w realnych projektach
Uczestnicy uczą się reagować na realne scenariusze zagrożeń – nie tylko jak je rozpoznawać, ale również jak im zapobiegać i je testować w środowiskach programistycznych
Tematy takie jak TLS, certyfikaty, mTLS, SPIFFE czy bezpieczeństwo aplikacji w Kubernetes prezentowane są z perspektywy developera – bez nadmiarowej konfiguracji DevOps, skupiając się na tym, co istotne z punktu widzenia kodu i architektury
Szkolenie obejmuje aktualne i branżowo uznane standardy bezpieczeństwa (OWASP, JWT, OAuth2, PKCE, WebAuthn, SBOM, SLSA), dzięki czemu wiedza uczestników pozostaje zgodna z najlepszymi praktykami
Omawiane są też nowoczesne podejścia do autoryzacji, takie jak ABAC (Attribute-Based Access Control) i relacyjna autoryzacja, coraz częściej wykorzystywane w systemach mikroserwisowych i aplikacjach SaaS
Wymagania
Umiejętność programowania w dowolnym języku
Umiejętność pracy z Gitem i terminalem
Znajomość protokołu HTTP
W cenie otrzymasz:
Materiały szkoleniowe
Certyfikat ukończenia szkolenia
W przypadku szkolenia w trybie stacjonarnym zapewnimy Ci również lunch oraz sprzęt niezbędny do nauki
Program szkolenia
Wprowadzenie do bezpieczeństwa aplikacji
OWASP Top 10 – omówienie najczęstszych podatności w aplikacjach
STRIDE, DREAD, modelowanie zagrożeń – techniki identyfikacji i oceny ryzyka na etapie projektowania systemu
Dependency security: SBOM, SCA, SLSA – bezpieczeństwo zależności i łańcucha dostaw oprogramowania, analiza komponentów i standardy
Uwierzytelnianie i autoryzacja
OAuth2, PKCE, Refresh Token – zasady bezpiecznego delegowania uprawnień i odnawiania sesji
OpenID Connect i ID Token – mechanizmy przekazywania tożsamości użytkownika oparte na OAuth2
Multitenancy,
tenant_id, separacja danych – bezpieczne zarządzanie wieloma tenantami i izolacja danychLogout, session management, session fixation – dobre praktyki zarządzania sesją i ochrona przed jej przejęciem
Passwordless: OTP, magic links, WebAuthn – nowoczesne metody uwierzytelniania bez użycia haseł
Role-based access control i claims – przypisywanie uprawnień na podstawie ról i atrybutów użytkownika
Atrybutowa i relacyjna autoryzacja – elastyczne modele kontroli dostępu oparte na atrybutach i relacjach
Kryptografia
HMAC, SHA-2, SHA-3 – mechanizmy zapewniające integralność danych i autentyczność wiadomości
AES-GCM i AEAD – bezpieczne tryby szyfrowania zapewniające poufność i integralność
RSA i ECC – podstawy kryptografii asymetrycznej oraz różnice i zastosowania obu podejść
JWT, JWS, JWE – techniki podpisywania i szyfrowania danych w tokenach
Bezpieczna komunikacja
TLS 1.3, mTLS i certyfikaty X.509 – nowoczesne protokoły komunikacji i wzajemne uwierzytelnianie usług
Service Identity, propagacja użytkownika – bezpieczne przekazywanie kontekstu tożsamości między komponentami
SPIFFE i mTLS w kodzie – implementacja modelu zaufania i zarządzania tożsamościami w usługach
Bezpieczna konteneryzacja
Zagrożenia w kontenerach – potencjalne luki i wektory ataków charakterystyczne dla środowisk kontenerowych
Praktyki budowania bezpiecznych kontenerów – minimalizacja powierzchni ataku, skanowanie i hardening obrazów
Secrets, zmienne środowiskowe i bezpieczeństwo danych – sposoby bezpiecznego zarządzania wrażliwymi danymi w runtime
K8s ServiceAccount, token review API – kontrola uprawnień i uwierzytelnianie wewnątrz klastra
Secure coding i testy bezpieczeństwa
CWE i typowe błędy w kodzie – klasyfikacja i przykłady najczęściej spotykanych luk bezpieczeństwa
Lintery bezpieczeństwa: Semgrep, SonarLint – automatyczne narzędzia do analizy kodu pod kątem podatności
Testy regresyjne luk (np. XSS, SQLi, IDOR) – techniki testowania aplikacji pod kątem znanych wektorów ataków
Autorem szkolenia jest Łukasz Andrzejewski
Od ponad 17 lat z pasją dzielę się wiedzą jako trener, wspierając rozwój kompetencji technologicznych wśród specjalistów IT na różnych etapach ich kariery. W ostatnich 5 latach przeszkoliłem ponad 2000 osób, prowadząc szkolenia zarówno otwarte, jak i dedykowane, dla czołowych firm z sektorów bankowości, ubezpieczeń i IT – m.in. Santander Bank Polska, ERGO Hestia, Asseco Poland oraz Orange. Specjalizuję się w szerokim zakresie technologii – od rozwiązań z ekosystemu Java, przez nowoczesny frontend,…
Wybrane opinie
Przeczytaj pozytywne opinie pochodzące z ankiet satysfakcji z naszych szkoleń wypełnianych wyłącznie przez ich uczestników po realizacji usługi
