Szkolenie: Analiza kodów źródłowych – Secure Code Review
Szkolenie Secure Code Review to praktyczny kurs dla IT, uczący analizy bezpieczeństwa kodu, wykrywania podatności OWASP Top 10, stosowania narzędzi SAST i AI, integracji code review z procesem wytwarzania oprogramowania oraz skutecznej komunikacji w zespole
- Trenerzy praktycy
- Kameralne grupy
Czas trwania szkolenia:2 dni (16h)
Kod kursu:SEC/CODEREVIEW
Dostępne terminy szkolenia
Termin:
Trener:
Cena:
2450 PLN netto
Lokalizacja:
ZdalneTermin:
Trener:
Cena:
2450 PLN nettoLokalizacja:
ZdalneTermin:
Trener:
Cena:
2450 PLN nettoLokalizacja:
ZdalneAnaliza kodów źródłowych – Secure Code Review
Cele szkolenia
Szkolenie przygotowuje do samodzielnego przeprowadzania analizy bezpieczeństwa kodu źródłowego w aplikacjach
Szkolenie uczy identyfikowania i eliminowania podatno�ści zgodnie z wytycznymi OWASP Top 10
Szkolenie pokazuje, jak wykorzystywać narzędzia automatyczne i AI w procesie secure code review
Szkolenie rozwija umiejętność efektywnej komunikacji i współpracy podczas przeglądu kodu w zespole
Szkolenie omawia metody dekompozycji złożonych systemów na obszary podlegające analizie bezpieczeństwa
Dla kogo?
Programistów i inżynierów oprogramowania z podstawową znajomością języka programowania i SDLC
Specjalistów ds. bezpieczeństwa aplikacji odpowiedzialnych za analizę i audyt kodu
Architektów oprogramowania projektujących i nadzorujących bezpieczeństwo systemów IT
Efekty kształcenia
Uczestnik analizuje kod pod kątem bezpieczeństwa zgodnie z OWASP Top 10
Uczestnik wykorzystuje narzędzia SAST i AI do automatyzacji przeglądu kodu
Uczestnik identyfikuje i eliminuje typowe błędy oraz podatności w kodzie
Uczestnik stosuje techniki efektywnej komunikacji w procesie code review
Uczestnik dekomponuje systemy na obszary do analizy bezpieczeństwa
Uczestnik integruje code review z procesami CI/CD i SDLC
Wymagania
Podstawowa znajomość co najmniej jednego języka programowania
Ogólna wiedza z zakresu wytwarzania oprogramowania
Podstawowa znajomość zagadnień bezpieczeństwa aplikacji
W cenie otrzymasz:
Materiały szkoleniowe
Certyfikat ukończenia szkolenia
W przypadku szkolenia w trybie stacjonarnym zapewnimy Ci również lunch oraz sprzęt niezbędny do nauki
Program szkolenia
Proces wytwarzania oprogramowania a bezpieczeństwo kodu
Rola bezpieczeństwa w cyklu życia oprogramowania (SDLC)
Jak code review wpisuje się w proces wytwarzania
Korzyści wynikające z regularnego przeglądu kodu
Code Review w procesie wytwórczym
Gdzie i kiedy najlepiej przeprowadzać przeglądy kodu?
Rola zespołu w procesie Code Review
Code Review a CI/CD – integracja z pipeline’m
Rodzaje Code Review
Code Review całościowe vs. przyrostowe
Kiedy stosować pełną analizę, a kiedy skupić się na zmianach?
Wady i zalety obu podejść
Podejścia do przeglądu kodu
Code Review indywidualne vs. zespołowe
Jak efektywnie prowadzić przeglądy kodu w dużych zespołach?
OWASP Top 10 w kontekście Secure Code Review
OWASP Top 10 a analizę bezpieczeństwa kodu
Przykłady błędów i podatności w kodzie
Jak rozpoznawać i eliminować podatności?
Typowe błędy w kodzie aplikacji
Przedstawienie popularnych podatności
Błędy logiczne, implementacyjne i konfiguracyjne
Wpływ podatności na bezpieczeństwo aplikacji
Psychologia procesu recenzji kodu
Ograniczona perspektywa w ocenie kodu
Kontekst aplikacji, infrastruktury i użytkowników
Poznawcze pułapki podczas przeglądania kodu
Techniki zwiększające obiektywizm
Komunikacja w procesie Code Review
Dobre praktyki recenzowania
Komunikacja w procesie code review
Konstruktywne przekazywanie uwag
Warsztat z efektywnej komunikacji podczas Code Review
Cztery warstwy weryfikacji kodu
Lokalna – analiza kodu na poziomie jednostek
Systemowa – weryfikacja kodu w kontekście całego systemu
Operacyjna – testowanie kodu w środowisku produkcyjnym
Zewnętrzna – audyty bezpieczeństwa prowadzone przez niezależne zespoły
Warsztat analizy kodu w czterech warstwach
Obszarowy sposób na Code Review
Analiza punktów wejścia do systemu
Weryfikacja logiki biznesowej
Kontrola punktów wyjścia z systemu
Warsztat dekompozycji systemu na obszary
Narzędzia do wspierania Code Review
Jakie narzędzia ułatwiają manualne Code Review?
Praktyczne zastosowanie narzędzi statycznej analizy kodu (SAST)
Zalety i ograniczenia statycznej analizy kodu
Przykłady konfiguracji i analizy wyników
Warsztat z uruchomienia automatycznej analizy kodu
Code Review z użyciem AI
W jaki sposób sztuczna inteligencja może wspierać analizę kodu?
Zalety i ograniczenia podejścia opartego na AI
Przedstawienie modeli publicznych i prywatnych
Przykłady analiz kodu opartych na AI
Warsztat samodzielnej analizy kodu z modelami AI
Porównanie skutecznosci analiz z uzyciem różnych modeli
Elastyczna automatyzacja sprawdzania kodu
Tworzenie własnych reguł detekcji błędów
Testy konwencji
Własne reguły w Semgrep
Własne reguły jako testy
Podsumowanie zasad efektywnej analizy bezpieczenstwa kodu
Komunikacja
Analiza techniczna
Dekompozycja złożonych systemów
Warsztat z analizy dużego projektu
Autorem szkolenia jest Adrian Sroka
Architekt bezpieczeństwa i konsultant IT. Moim celem jest uczynienie świata bezpieczniejszym poprzez tworzenie lepiej zabezpieczonych aplikacji i systemów IT. Wierzę, że skuteczne podejście do bezpieczeństwa zaczyna się od dobrze zaprojektowanego procesu developmentu. Specjalizuję się w integracji bezpieczeństwa z procesem tworzenia oprogramowania. Dzięki bogatemu doświadczeniu w budowie systemów IT skutecznie wdrażam praktyki i rozwijam społeczności związane z bezpieczeństwem w firmach.
Wybrane opinie
Przeczytaj pozytywne opinie pochodzące z ankiet satysfakcji z naszych szkoleń wypełnianych wyłącznie przez ich uczestników po realizacji usługi
