Formation de la sécurité des applications pour les développeurs
J'essaie d'établir un groupe de sécurité des applications au sein d'une organisation et, bien qu'il existe une pléthore de cours de testeurs de pénétration, je ne trouve pas une quantité égale de cours de formation pour les développeurs/testers QA
L'équipe que je travaille est très compétente en ce qui concerne ses fonctions essentielles (développement, test, automatisation des tests), mais une exposition très limitée à la sécurité des applications - une connaissance très élémentaire du Top 10 de l'OWASP
J'ai regardé sur Internet pour les cours pour les aider à développer leurs connaissances, et jusqu'à présent, j'ai trouvé 2-3 cours de SANS et d'un forfait de formation d'aspect Sécurité. Je n'ai pas encore essayé de cela, car je voulais avoir des opinions avant de commettre
Le cours idéal devrait contenir:
- Une introduction, idéalement basée sur le top 10 de l'Owasp
- Techniques défensives, idéalement présentées comme cadre (par exemple, Owasp ESAPI)
- Test de sécurité, orienté vers les testeurs d'assurance qualité qui aiment automatiser les tests de pénétration manuels VS
- Application de WAFS (pour le correctif virtuel)
Connaissez-vous de n'importe quel paquet de cours qui peut me fournir ce contenu ou devrais-je rechercher des cours individuels de différents fournisseurs? Et si oui, pouvez-vous me fournir les noms des fournisseurs de formation que vous avez utilisés et que vous êtes satisfait?
Il y a quelques ressources libres que je connaisse sur ce qui pourrait être de bonnes introductions pour ce genre de chose. Les innovations de sécurité ont un fichier gratuit Owasp Top 10 CBT , une boussole de sécurité a quelque chose de similaire ici comme Trustwave
Au-delà de ces éléments de base, au moins deux de ces entreprises auront plus d'options payantes, mais celles-ci pourraient être un bon point de départ.
Je recommande de regarder le cycle de vie du développement de la sécurité de Microsoft (SDL). Ils ont beaucoup de bonnes ressources.
Regardez également Bsimm et Opensamm.
Quelques questions et informations connexes:
Vérifiez Sécurité Safelight . Ils sont axés sur la formation de la sécurité des applications ont un programme complet pour les développeurs. Divulgation complète - je travaille pour Safelight! Si vous souhaitez obtenir des informations, vous pouvez le demander directement de Larry Gorkun [email protected].
Vérifiez Codebashing et leur démo d'injection SQL .
Ils ont développé une plate-forme de formation à la sécurité des applications hébergée par le cloud qui propose des didacticiels interactifs qui permettent également aux développeurs/élèves de tester des problèmes de sécurité à l'aide de jeux de guerre de Sandboxed. Très similaire à CodeAcademy mais pour la sécurité des applications.
Divulgation complète - je suis un développeur de contenu sur www.codebashing.com