Mini course: Security Testing by static and dynamic analysis methods
- Опис курсу
- Програма курсу
- Часті запитання
- Відгуки випускників
Приглашаем на mini course "Security Testing by static and dynamic analysis methods"
Тестирование безопасности методами статического (SAST) и динамического (DAST) анализа
SAST и DAST – это методы тестирования безопасности программ, которые используются для поиска уязвимостей безопасности, которые могут сделать программу восприимчивой к атакам.
Безопасность проектов очень важна. Любое программное обеспечение имеет свои уязвимые точки, может быть атакованным и взломанным. Сегодня, завтра или через год – неважно, когда это может случиться, надо всегда быть готовым. Готовым донести мысль, зачем тестирование безопасности нужно, и что нужно, чтобы его осуществить.
Умение тестировать безопасность продукта станет большим плюсом к твоему резюме, ведь компаниям очень важна репутация и безопасность пользовательских данных.
На курсе ты узнаешь:
- Что такое статический/динамический анализ.
- Как можно использовать анализ кроме тестирования безопасности.
- Как планировать тестирование безопасности.
- Как презентовать/продавать тестирование безопасности.
На практике ты научишься:
- Использовать инструменты статического анализа – от установки к результату.
- Налаживать систему статического анализа.
- Анализировать то, что было найдено тулзами.
- Создавать джобы для Jenkins для этих инструментов.
Инструменты, которыми ты овладеешь:
- SonarQube,
- OWASP ZAP,
- mobSF,
- sqlmap,
- xsser.
Краткая программа курса: (подробнее о каждом занятии – в графе “Программа курса“)
- Методы и инструменты статического и динамического анализа
- Статический анализ для артефактов ПО
- Встраивание в CI инструментов командной строки
Запишешь себе в резюме после курса:
- Владение инструментами статического анализа SonarQube, mobSF.
- Понимание методологии тестирования безопасности.
Что нужно знать перед началом обучения на курсе?
- Понимать клиент-серверную архитектуру,
- В чем разница между авторизацией и аутентификацией,
- Знать о сертификатах, для чего они нужны.
Что нужно установить перед началом обучения на курсе?
Кому будет интересно:
- QA Engineer
- Dev
- PM
Спикер: Александр Трещов
- QA Team Leader at MobiDev, отвечает за направление нефункционального тестирования.
- Выступал на SQA EU1.
- Пишет инструменты для тестировщиков.
Загляни за кулисы мини-курса на Youtube
Также рекомендуем посмотреть Вебинар: Security Test Planning
1 занятие
Методы и инструменты статического и динамического анализа.
Зачем? Затем, что любая активность начинается с анализа ситуации и обстоятельств, всего того, что влияет на тестирование. Так как тестирование безопасности достаточно комплексная активность, логично попытаться начать анализ от общего к частному. Так как анализ делится на динамический и статический, мы можем начать с более простого - статического. Здесь на сцену выходит SonarQube - инструмент статического анализа исходного кода. Он поддерживает множество языков и имеет бесплатную версию.
- Что такое статический/динамический анализ.
- Инструменты статического/динамического анализа.
- Статический анализ SonarQube – возьмём случайный проект на GitHub и продемонстрируем, как настраивать SonarQube с нуля.
2 занятие
Статический анализ для артефактов ПО.
Проект и продукт состоят не только из исходного кода, но также билдов приложений, артефактов сборки, которые мы распространяем. И мы можем проанализировать и их. В этом нам поможет mobSF – бесплатный инструмент с открытым исходным кодом, который может самостоятельно работать с ними. То есть если ваш проект – мобильный, то ваш план должен включать в себя mobSF.
- Знакомство и практика с инструментом mobSF – возьмём на выбор приложение для анализа и посмотрим в чем оно хорошее, а где можно было бы сделать лучше.
- Обзор Kali Linux, Parrot.
3 занятие
Инструменты командной строки и их встраивание в CI.
Ми говорили про два вида анализа и вот мы дошли до динамического – это инструменты, которые атакуют работающее приложение, чаще посредством HTTP запросов и отдают нам репорт для анализа.
Рассмотрим инструменты командной строки и их встраивание в CI, чтобы автоматизировать тестирование. Все, или почти все инструменты имеют интерфейс командной строки, поэтому их можно и нужно запускать время от времени, здесь нам очень поможет Jenkins. Рассмотрим, как это автоматизировать на примере sqlmap и xsser.
- sqlmap, xsser.
- Jenkins.
- Как добавить инструмент в CI.
- Почёму именно SonarQube? +
Он поддерживает множество языков и имеет бесплатную версию.
На курсе будет рассмотрена настройка SonarQube с нуля.
- Какие способы оплаты доступны? Можно ли оплатить от компании? +
Банковская карта, банковский перевод, оплата по счёту от организации. После регистрации мы позвоним вам и всё объясним. Контракт, счет-фактура для компании будут сгенерированы по запросу.
- Оформляете ли вы сертификат? +
Да, сертификат выдается в электронном виде. Но помним, главное – это знания и навыки.
- Можно ли оплатить частями? +
Этот миникурс предполагает одноразовую оплату. Но, если вы из Украины, то есть возможность оплаты по частям, этот способ может предоставить ваш банк, в процессе оформления.
- Почему миникурс, когда есть книги, статьи, видео? +
Курсы – это инвестиция в себя, в свое развитие. Курсы с преподавателем – это мощный и быстрый способ обучения. При полном живом участии они гарантируют соответствующие, углубленные знания. Этот Миникурс – максимально ориентированный на получение практических навыков по тестированию безопасности методами статического (SAST) и динамического (DAST) анализа. Самым ценным в современных условиях является ВРЕМЯ. И здесь главное – скорость и качество.
На миникурсе участники могут общаться онлайн друг с другом и с преподавателем, выполнение задач также дает более глубокое и эффективное усвоение практических навыков.
Курсы нашей платформы эффективны.
Постоянная обратная связь – вы получаете ответы на любые вопросы.
- Будут ли доступны записи? +
Записи занятий будут доступны в течение 1 года.
Но главная задача миникурса – учиться с преподавателем онлайн. Ты можешь общаться, задать вопросы, решать текущие проблемы, улучшить свои навыки.
- Можно ли задавать вопросы? +
Можно и нужно. Для этого будет отведен определенный промежуток времени, кроме того свои вопросы можно будет написать после занятия.
Що сподобалось? - Спосіб подачі інформації. - Шлях починаючи з установки програм, щоб можна було паралельно йти по степах а не шукати туторіал в неті. - робота на реальних прикладах і їх аналіз - відповіді на всі запитання;) А ще супер круто що все показувалось на практиці - історії з життя)
Что понравилось? Доходчивое объяснение. интересный материал
Что понравилось? Клёвые тулзы, особенно Сонар. Реально пригодился, и даже 2 тикета в джире создалось благодаря ему
Що сподобалось? Подача матеріалу
Про що хотілось би почути в майбутньому? Загалом більше всякого по цій темі, А ще було б приємним бонусом наприклад список тем які варто почитати щоб закріпити матеріал і дізнатись загалом більше теорії. А ще хотілось хоча би мінімальних інструкцій для людей які дуже хочуть розвиватись в цій сфері і за що братись спочатку) Я з нетерпінням чекатиму на наступні курси;)