Mini course: Security Testing by static and dynamic analysis methods

Викладач(-і) курсу Олександр Трещов
Додати у Google Calendar
  • Опис курсу
  • Програма курсу
  • Часті запитання
  • Відгуки випускників

Приглашаем на mini course "Security Testing by static and dynamic analysis methods"

Тестирование безопасности методами статического (SAST) и динамического (DAST) анализа

SAST и DAST – это методы тестирования безопасности программ, которые используются для поиска уязвимостей безопасности, которые могут сделать программу восприимчивой к атакам.

Безопасность проектов очень важна. Любое программное обеспечение имеет свои уязвимые точки, может быть атакованным и взломанным. Сегодня, завтра или через год – неважно, когда это может случиться, надо всегда быть готовым. Готовым донести мысль, зачем тестирование безопасности нужно, и что нужно, чтобы его осуществить.

Умение тестировать безопасность продукта станет большим плюсом к твоему резюме, ведь компаниям очень важна репутация и безопасность пользовательских данных.

На курсе ты узнаешь:

  • Что такое статический/динамический анализ.
  • Как можно использовать анализ кроме тестирования безопасности.
  • Как планировать тестирование безопасности.
  • Как презентовать/продавать тестирование безопасности.

На практике ты научишься:

  • Использовать инструменты статического анализа – от установки к результату.
  • Налаживать систему статического анализа.
  • Анализировать то, что было найдено тулзами.
  • Создавать джобы для Jenkins для этих инструментов.

Инструменты, которыми ты овладеешь:

  • SonarQube,
  • OWASP ZAP,
  • mobSF,
  • sqlmap,
  • xsser.

Краткая программа курса: (подробнее о каждом занятии – в графе “Программа курса“)

  • Методы и инструменты статического и динамического анализа
  • Статический анализ для артефактов ПО
  • Встраивание в CI инструментов командной строки

Запишешь себе в резюме после курса:

  • Владение инструментами статического анализа SonarQube, mobSF.
  • Понимание методологии тестирования безопасности.

Что нужно знать перед началом обучения на курсе?

Что нужно установить перед началом обучения на курсе?

Кому будет интересно:

  • QA Engineer
  • Dev
  • PM

Спикер: Александр Трещов

  • QA Team Leader at MobiDev, отвечает за направление нефункционального тестирования.
  • Выступал на SQA EU1.
  • Пишет инструменты для тестировщиков.

Загляни за кулисы мини-курса на Youtube

Также рекомендуем посмотреть Вебинар: Security Test Planning

 1 занятие

Методы и инструменты статического и динамического анализа.

Зачем? Затем, что любая активность начинается с анализа ситуации и обстоятельств, всего того, что влияет на тестирование. Так как тестирование безопасности достаточно комплексная активность, логично попытаться начать анализ от общего к частному. Так как анализ делится на динамический и статический, мы можем начать с более простого - статического. Здесь на сцену выходит SonarQube - инструмент статического анализа исходного кода. Он поддерживает множество языков и имеет бесплатную версию.

  • Что такое статический/динамический анализ.
  • Инструменты статического/динамического анализа.
  • Статический анализ SonarQube – возьмём случайный проект на GitHub и продемонстрируем, как настраивать SonarQube с нуля.

 2 занятие

Статический анализ для артефактов ПО.

Проект и продукт состоят не только из исходного кода, но также билдов приложений, артефактов сборки, которые мы распространяем. И мы можем проанализировать и их. В этом нам поможет mobSF – бесплатный инструмент с открытым исходным кодом, который может самостоятельно работать с ними. То есть если ваш проект – мобильный, то ваш план должен включать в себя mobSF.

  • Знакомство и практика с инструментом mobSF – возьмём на выбор приложение для анализа и посмотрим в чем оно хорошее, а где можно было бы сделать лучше.
  • Обзор Kali Linux, Parrot.

 3 занятие

Инструменты командной строки и их встраивание в CI.

Ми говорили про два вида анализа и вот мы дошли до динамического – это инструменты, которые атакуют работающее приложение, чаще посредством HTTP запросов и отдают нам репорт для анализа.

Рассмотрим инструменты командной строки и их встраивание в CI, чтобы автоматизировать тестирование. Все, или почти все инструменты имеют интерфейс командной строки, поэтому их можно и нужно запускать время от времени, здесь нам очень поможет Jenkins. Рассмотрим, как это автоматизировать на примере sqlmap и xsser.

  • sqlmap, xsser.
  • Jenkins.
  • Как добавить инструмент в CI.
Почёму именно SonarQube? +

Он поддерживает множество языков и имеет бесплатную версию.

На курсе будет рассмотрена настройка SonarQube с нуля.

Какие способы оплаты доступны? Можно ли оплатить от компании? +

Банковская карта, банковский перевод, оплата по счёту от организации. После регистрации мы позвоним вам и всё объясним. Контракт, счет-фактура для компании будут сгенерированы по запросу.

Оформляете ли вы сертификат? +

Да, сертификат выдается в электронном виде. Но помним, главное – это знания и навыки.

Можно ли оплатить частями? +

Этот миникурс предполагает одноразовую оплату. Но, если вы из Украины, то есть возможность оплаты по частям, этот способ может предоставить ваш банк, в процессе оформления.

Почему миникурс, когда есть книги, статьи, видео? +

Курсы – это инвестиция в себя, в свое развитие. Курсы с преподавателем – это мощный и быстрый способ обучения. При полном живом участии они гарантируют соответствующие, углубленные знания. Этот Миникурс – максимально ориентированный на получение практических навыков по тестированию безопасности методами статического (SAST) и динамического (DAST) анализа. Самым ценным в современных условиях является ВРЕМЯ. И здесь главное – скорость и качество.

На миникурсе участники могут общаться онлайн друг с другом и с преподавателем, выполнение задач также дает более глубокое и эффективное усвоение практических навыков.

Курсы нашей платформы эффективны.

Постоянная обратная связь – вы получаете ответы на любые вопросы.

Будут ли доступны записи? +

Записи занятий будут доступны в течение 1 года.

Но главная задача миникурса – учиться с преподавателем онлайн. Ты можешь общаться, задать вопросы, решать текущие проблемы, улучшить свои навыки.

Можно ли задавать вопросы? +

Можно и нужно. Для этого будет отведен определенный промежуток времени, кроме того свои вопросы можно будет написать после занятия.

Що сподобалось? - Спосіб подачі інформації. - Шлях починаючи з установки програм, щоб можна було паралельно йти по степах а не шукати туторіал в неті. - робота на реальних прикладах і їх аналіз - відповіді на всі запитання;) А ще супер круто що все показувалось на практиці - історії з життя)

Что понравилось? Доходчивое объяснение. интересный материал

Что понравилось? Клёвые тулзы, особенно Сонар. Реально пригодился, и даже 2 тикета в джире создалось благодаря ему

Що сподобалось? Подача матеріалу

Про що хотілось би почути в майбутньому? Загалом більше всякого по цій темі, А ще було б приємним бонусом наприклад список тем які варто почитати щоб закріпити матеріал і дізнатись загалом більше теорії. А ще хотілось хоча би мінімальних інструкцій для людей які дуже хочуть розвиватись в цій сфері і за що братись спочатку) Я з нетерпінням чекатиму на наступні курси;)

Курси та події

Публікації

Відео