在軟體開發生命週期 (SDLC) 中的建構安全性
從這 12.5 小時的課程,你會學到
- 了解如何成為應用程式安全冠軍。
- 什麼是 OWASP Top 10 以及如何防禦這些漏洞。
- 使用威脅建模來識別開發功能中的威脅和緩解措施。
- 如何在應用程式上執行威脅模型。
- 如何執行應用程式的漏洞掃描。
- 使用標準和開放流程對安全漏洞進行評級。
- 如何糾正程式碼中的常見安全漏洞。
- App 安全如何融入整體網路安全計劃。
- 在軟體開發生命週期 (SDLC,Software Development Life Cycle)中構建安全性。
要求
- 基本的程式設計知識
- 了解 IT 系統以及如何在作業環境中部署軟體
課程說明
每家公司都是軟體公司,而保護應用程式的安全變得越來越困難。
在網路威脅不斷演變且日益複雜的時代,從底層開始保護應用程式比以往任何時候都更加重要。本課程內容全面而深入,旨在為軟體開發人員和安全專業人員提供必要的知識和工具,以在整個軟體開發生命週期 (SDLC) 中保護其應用程式。
本課程首先向學員介紹「縱深防禦」等基礎安全概念,我們將探討攻擊的本質,包括漏洞、攻擊手段和有效載荷,並使用「PrintNightmare」漏洞等真實案例進行講解。我們將研究如何實施多層安全措施,以建構針對這些威脅的全面防禦策略。隨著學習的深入,學員將深入理解基本的安全原則,包括機密性、完整性和可用性 (CIA),以及管理身分驗證、授權和會話管理的關鍵實踐。
本課程的很大一部分內容都致力於探討應用程式安全方面的現代挑戰,例如 API 安全。學員將學習應用程式介面 (API) 在 Web 應用程式中的運作方式、它們帶來的風險以及有效保護它們的策略。課程將深入探討行業標準和框架,例如 OWASP Top 10,這些標準和框架突出了當今 Web 應用程式面臨的最關鍵的安全風險。我們將探索實施穩健安全控制的細微差別、風險評級方法(例如 NIST、FAIR、OWASP 和 CIS RAM 的方法),以及如何開發和實施這些控制措施來應對各種安全威脅。
學員還將深入學習軟體供應鏈安全等高階主題,確保軟體從開發到部署的完整性。本課程涵蓋漏洞管理的各個方面,從識別和評估到修復和報告,使學員掌握持續維護 IT 系統安全性和完整性所需的技能。
課程還將全面探討密碼學技術,包括雜湊、加密(對稱和非對稱加密)以及數位憑證和公鑰基礎設施 (PKI) 的使用,以確保學員能夠有效地保護敏感資料並確保通訊安全。我們將介紹 JSON Web Tokens (JWT)、JSON Web Encryption (JWE) 和 JSON Web Signatures (JWS),闡述這些技術如何用於保護 Web 應用程式中的資料傳輸。
隨著課程的深入,學員將探索 DevOps 流程中安全的關鍵整合,即 DevSecOps。我們將強調在整個開發生命週期中儘早並持續嵌入安全實踐的重要性。我們將研究持續整合和持續部署 (CI/CD) 管道的安全性,以了解如何保護這些流程免受未經授權的存取、程式碼篡改和其他威脅。學員將學習如何實施安全測試工具,包括靜態應用程式安全測試 ( Static Application Security Testing,SAST)、動態應用程式安全測試 (Dynamic Application Security Testing,DAST)、互動式應用程式安全測試 ( Interactive Application Security Testing,IAST)、執行時間應用程式自我保護 (Runtime Application Self-Protection,RASP)、Web 應用程式防火牆 (Web Application Firewalls,WAF) 等等!
為了跟上應用程式安全情勢的變化,本課程還將介紹如何以安全的方式將 LLM 和 AI 整合到應用程式中。本課程將介紹 NIST AI RMF、OWASP LLMSecOps 和 MITRE ATLAS 等主題。
此外,本課程還將涵蓋應用安全態勢管理 ( Application Security Posture Management,ASPM) 等新興領域。 ASPM 透過整合各種安全實踐和工具,提供軟體應用程式安全狀況的全面視圖。這種整體方法確保組織能夠管理整個應用程式生命週期中的漏洞、配置缺陷以及安全性策略的合規性。
實踐演示和動手活動將使學員能夠將所學應用於實際場景。從探索攻擊樹和威脅建模技術,到執行滲透測試以及利用 CodeQL 等工具進行安全編碼,學員將在識別、緩解和應對安全威脅方面獲得寶貴的經驗。
課程結束時,學員將對應用程式安全有深入細緻的理解。他們將能夠將安全實踐無縫整合到軟體開發生命週期 (SDLC) 中,確保其應用程式不僅功能完善,而且具有抵禦各種網路威脅的彈性和安全性能。無論您是經驗豐富的安全專家還是應用程式安全領域的新手開發人員,本課程都將為您提供在當今數位化環境中建立和維護安全可靠軟體所需的知識和技能。
目標受眾
- 對開發更安全軟體有興趣的軟體開發人員
- 安全從業人員
- 軟體和安全工程領導者
- 網路安全專業人員
講師簡介
Derek Fisher 網路路安全領域的領導者、演講者、作者和講師
Derek Fisher 是一位經驗豐富的網路安全領導者、教育家和作家,在工程、安全軟體開發和企業安全戰略領域擁有數十年的經驗。他目前在高等教育機構擔任教授和專案主任,致力於培養下一代網路安全專業人才,並領導網路防禦和安全軟體生命週期實踐的課程開發。
他的工作涵蓋安全架構實踐、安全軟體開發生命週期、威脅建模、產品安全領導力以及組織風險管理。Derek 因其能夠將複雜的安全概念轉化為工程師、開發人員和安全從業人員切實可行的指導而廣受認可。
專業資質
- CISSP – 註冊資訊系統安全專家
- CSSLP – 註冊安全軟體生命週期專家
- AWS 認證(雲端專家)
教學與專業知識
Derek 致力於使安全變得易於理解、切實可行,並與現代工程實踐相契合。他的教學領域包括:
核心領域
- 安全與風險管理
- 安全軟體開發生命週期 (SSDLC)
- 應用安全與威脅建模
- 雲端安全 (AWS)
- 身分與存取管理
- 網路與基礎設施安全
- 治理、合規與策略即代碼
出版品與思想領導力
Derek 是多部應用安全領域權威著作的作者,包括《應用安全程序手冊》、《威脅建模最佳實踐》以及兒童網路安全系列叢書《Alicia Connected》。他定期為人工智慧在網路安全中的應用、安全軟體開發生命週期 (SSDLC) 和關鍵基礎設施威脅建模等主題的出版物撰稿。
教學理念
Derek 認為,最強大的安全項目建立在以下基礎之上:
- 清晰的溝通
- 實踐性強、動手實的學習
- 培養學習者的批判性思維,而非死記硬背
- 他的課程融合了真實案例研究、架構模式和應試框架,幫助學生提升能力和信心。
理想學員
Derek 的課程是針對以下族群:
- 有志成為網路安全專業人士的人士
- 轉型從事安全工作的軟體工程師
- 準備參加 CISSP 或 CSSLP 認證的安全分析師
- 產品安全和 DevSecOps 從業人員
- 尋求加強組織安全態勢的技術領導者
英文字幕:有
- 想要了解如何將英文字幕自動翻譯成中文? 請參考這篇 How-To
- Udemy 永久擁有課程 大多課程約 NT400 (點擊連結看更多)
- ✨年訂閱每月 NT350 🌈 悠遊 Udemy 的 26000+ 門課,最大化學習 ( 原價 NT635/月 )
- Udemy 現在越來越多課程有中文字幕,請參考 Soft & Share 中文線上課程
- 手機上點選優惠連結看到的價格比電腦上看到的貴
- $代表當地貨幣, 如在台灣為 NT
- 點選”報名參加課程”有可能因瀏覽器 cookies 轉久一點或回報錯誤而無法連上,請稍等刷新或重新點選就會出現
報名參加課程
也許你會有興趣
- DevOps 學習地圖
- ★英語學習地圖 – 練好英文是最大的學習槓桿
- 如何找工作學習地圖 – 找工作不要靠運氣!
- 從 Soft & Share 各種社團頻道挑選你喜歡的加入
發表迴響