Szkolenie: Analiza kodów źródłowych – Secure Code Review
Szkolenie "Analiza Kodów Źródłowych – Secure Code Review" to kompleksowy kurs skierowany do specjalistów IT, który łączy teoretyczne podstawy z praktycznymi aspektami analizy bezpieczeństwa kodu. Uczestnicy poznają metodyki przeglądu kodu, nauczą się identyfikować typowe podatności zgodnie z OWASP Top 10, a także skutecznie wykorzystywać narzędzia automatyczne i AI we wspieraniu procesu Secure Code Review.
- Trenerzy praktycy
- Kameralne grupy
Czas trwania szkolenia:2 dni (16h)
Kod kursu:SEC/CODEREVIEW
Analiza kodów źródłowych – Secure Code Review
Cele szkolenia
Zrozumienie roli przeglądu kodu w kontekście bezpieczeństwa aplikacji
Poznanie różnych metodyk i technik efektywnej analizy kodu źródłowego
Nabycie umiejętności identyfikacji typowych błędów i podatności zgodnie z OWASP Top 10
Praktyczne zastosowanie narzędzi wspierających proces code review
Opanowanie sztuki dekompozycji złożonych systemów na obszary podlegające analizie
Nauka efektywnej komunikacji w procesie przeglądu kodu
Dla kogo?
Programistów zainteresowani bezpieczeństwem
Specjalistów ds. bezpieczeństwa aplikacji
Architektów oprogramowania
Zalety
Program obejmujący zarówno aspekty techniczne, jak i komunikacyjne
Wykorzystanie rzeczywistych przykładów kodu i podatności
Poznanie najnowszych trendów w bezpieczeństwie kodu, w tym zastosowania AI
Możliwość konsultacji własnych przypadków z ekspertem
Wymagania
Podstawowa znajomość co najmniej jednego języka programowania
Ogólna wiedza z zakresu wytwarzania oprogramowania
Podstawowa znajomość zagadnień bezpieczeństwa aplikacji
W cenie otrzymasz:
Materiały szkoleniowe
Certyfikat ukończenia szkolenia
W przypadku szkolenia w trybie stacjonarnym zapewnimy Ci również lunch oraz sprzęt niezbędny do nauki
Program szkolenia
Proces wytwarzania oprogramowania a bezpieczeństwo kodu
Rola bezpieczeństwa w cyklu życia oprogramowania (SDLC)
Jak code review wpisuje się w proces wytwarzania
Korzyści wynikające z regularnego przeglądu kodu
Code Review w procesie wytwórczym
Gdzie i kiedy najlepiej przeprowadzać przeglądy kodu?
Rola zespołu w procesie Code Review
Code Review a CI/CD – integracja z pipeline’m
Rodzaje Code Review
Code Review całościowe vs. przyrostowe
Kiedy stosować pełną analizę, a kiedy skupić się na zmianach?
Wady i zalety obu podejść
Podejścia do przeglądu kodu
Code Review indywidualne vs. zespołowe
Jak efektywnie prowadzić przeglądy kodu w dużych zespołach?
OWASP Top 10 w kontekście Secure Code Review
OWASP Top 10 a analizę bezpieczeństwa kodu
Przykłady błędów i podatności w kodzie
Jak rozpoznawać i eliminować podatności?
Typowe błędy w kodzie aplikacji
Przedstawienie popularnych podatności
Błędy logiczne, implementacyjne i konfiguracyjne
Wpływ podatności na bezpieczeństwo aplikacji
Psychologia procesu recenzji kodu
Ograniczona perspektywa w ocenie kodu
Kontekst aplikacji, infrastruktury i użytkowników
Poznawcze pułapki podczas przeglądania kodu
Techniki zwiększające obiektywizm
Komunikacja w procesie Code Review
Dobre praktyki recenzowania
Komunikacja w procesie code review
Konstruktywne przekazywanie uwag
Warsztat z efektywnej komunikacji podczas Code Review
Cztery warstwy weryfikacji kodu
Lokalna – analiza kodu na poziomie jednostek
Systemowa – weryfikacja kodu w kontekście całego systemu
Operacyjna – testowanie kodu w środowisku produkcyjnym
Zewnętrzna – audyty bezpieczeństwa prowadzone przez niezależne zespoły
Warsztat analizy kodu w czterech warstwach
Obszarowy sposób na Code Review
Analiza punktów wejścia do systemu
Weryfikacja logiki biznesowej
Kontrola punktów wyjścia z systemu
Warsztat dekompozycji systemu na obszary
Narzędzia do wspierania Code Review
Jakie narzędzia ułatwiają manualne Code Review?
Praktyczne zastosowanie narzędzi statycznej analizy kodu (SAST)
Zalety i ograniczenia statycznej analizy kodu
Przykłady konfiguracji i analizy wyników
Warsztat z uruchomienia automatycznej analizy kodu
Code Review z użyciem AI
W jaki sposób sztuczna inteligencja może wspierać analizę kodu?
Zalety i ograniczenia podejścia opartego na AI
Przedstawienie modeli publicznych i prywatnych
Przykłady analiz kodu opartych na AI
Warsztat samodzielnej analizy kodu z modelami AI
Porównanie skutecznosci analiz z uzyciem różnych modeli
Elastyczna automatyzacja sprawdzania kodu
Tworzenie własnych reguł detekcji błędów
Testy konwencji
Własne reguły w Semgrep
Własne reguły jako testy
Podsumowanie zasad efektywnej analizy bezpieczenstwa kodu
Komunikacja
Analiza techniczna
Dekompozycja złożonych systemów
Warsztat z analizy dużego projektu
Wybrane opinie
Przeczytaj pozytywne opinie pochodzące z ankiet satysfakcji z naszych szkoleń wypełnianych wyłącznie przez ich uczestników po realizacji usługi