Trwają zapisy do grupy

Szkolenie: Analiza kodów źródłowych – Secure Code Review

Szkolenie "Analiza Kodów Źródłowych – Secure Code Review" to kompleksowy kurs skierowany do specjalistów IT, który łączy teoretyczne podstawy z praktycznymi aspektami analizy bezpieczeństwa kodu. Uczestnicy poznają metodyki przeglądu kodu, nauczą się identyfikować typowe podatności zgodnie z OWASP Top 10, a także skutecznie wykorzystywać narzędzia automatyczne i AI we wspieraniu procesu Secure Code Review.

  • Trenerzy praktycy
  • Kameralne grupy

Czas trwania szkolenia:2 dni (16h)

Poziom zaawansowania:

Kod kursu:SEC/CODEREVIEW

securitysonarqubebezpieczenstwocode-review

Dostępne terminy szkolenia

  • Termin
  • Trener
  • Cena
  • Zapis
  • Lokalizacja

Termin:

7 maja
Trwają zapisy na szkolenie

Trener:

Adrian Sroka

Cena:

2450 PLN netto
Ikona podpowiedziDowiedz się więcej o cenach szkoleń - zapraszamy do kontaktu
+23% VAT

Lokalizacja:

Zdalne
Zdalne
Ikona podpowiedziZapytaj o inne lokalizacje - w tym celu skorzystaj z chatu

Forma szkolenia

Interesuje Cię szkolenie stacjonarne?

Powiadom o kolejnych terminach

Interesuje Cię szkolenie w innym terminie?

Analiza kodów źródłowych – Secure Code Review

Cele szkolenia

  • Zrozumienie roli przeglądu kodu w kontekście bezpieczeństwa aplikacji

  • Poznanie różnych metodyk i technik efektywnej analizy kodu źródłowego

  • Nabycie umiejętności identyfikacji typowych błędów i podatności zgodnie z OWASP Top 10

  • Praktyczne zastosowanie narzędzi wspierających proces code review

  • Opanowanie sztuki dekompozycji złożonych systemów na obszary podlegające analizie

  • Nauka efektywnej komunikacji w procesie przeglądu kodu


Dla kogo?

  • Programistów zainteresowani bezpieczeństwem

  • Specjalistów ds. bezpieczeństwa aplikacji

  • Architektów oprogramowania


Zalety

  • Program obejmujący zarówno aspekty techniczne, jak i komunikacyjne

  • Wykorzystanie rzeczywistych przykładów kodu i podatności

  • Poznanie najnowszych trendów w bezpieczeństwie kodu, w tym zastosowania AI

  • Możliwość konsultacji własnych przypadków z ekspertem


Wymagania

  • Podstawowa znajomość co najmniej jednego języka programowania

  • Ogólna wiedza z zakresu wytwarzania oprogramowania

  • Podstawowa znajomość zagadnień bezpieczeństwa aplikacji


W cenie otrzymasz:

  • Materiały szkoleniowe

  • Certyfikat ukończenia szkolenia

  • W przypadku szkolenia w trybie stacjonarnym zapewnimy Ci również lunch oraz sprzęt niezbędny do nauki

Program szkolenia

Pobierz program w PDF

Proces wytwarzania oprogramowania a bezpieczeństwo kodu

  • Rola bezpieczeństwa w cyklu życia oprogramowania (SDLC)

  • Jak code review wpisuje się w proces wytwarzania

  • Korzyści wynikające z regularnego przeglądu kodu

Code Review w procesie wytwórczym

  • Gdzie i kiedy najlepiej przeprowadzać przeglądy kodu?

  • Rola zespołu w procesie Code Review

  • Code Review a CI/CD – integracja z pipeline’m

Rodzaje Code Review

  • Code Review całościowe vs. przyrostowe

  • Kiedy stosować pełną analizę, a kiedy skupić się na zmianach?

  • Wady i zalety obu podejść

Podejścia do przeglądu kodu

  • Code Review indywidualne vs. zespołowe

  • Jak efektywnie prowadzić przeglądy kodu w dużych zespołach?

OWASP Top 10 w kontekście Secure Code Review

  • OWASP Top 10 a analizę bezpieczeństwa kodu

  • Przykłady błędów i podatności w kodzie

  • Jak rozpoznawać i eliminować podatności?

Typowe błędy w kodzie aplikacji

  • Przedstawienie popularnych podatności

  • Błędy logiczne, implementacyjne i konfiguracyjne

  • Wpływ podatności na bezpieczeństwo aplikacji

Psychologia procesu recenzji kodu

  • Ograniczona perspektywa w ocenie kodu

  • Kontekst aplikacji, infrastruktury i użytkowników

  • Poznawcze pułapki podczas przeglądania kodu

  • Techniki zwiększające obiektywizm

Komunikacja w procesie Code Review

  • Dobre praktyki recenzowania

  • Komunikacja w procesie code review

  • Konstruktywne przekazywanie uwag

  • Warsztat z efektywnej komunikacji podczas Code Review

Cztery warstwy weryfikacji kodu

  • Lokalna – analiza kodu na poziomie jednostek

  • Systemowa – weryfikacja kodu w kontekście całego systemu

  • Operacyjna – testowanie kodu w środowisku produkcyjnym

  • Zewnętrzna – audyty bezpieczeństwa prowadzone przez niezależne zespoły

  • Warsztat analizy kodu w czterech warstwach

Obszarowy sposób na Code Review

  • Analiza punktów wejścia do systemu

  • Weryfikacja logiki biznesowej

  • Kontrola punktów wyjścia z systemu

  • Warsztat dekompozycji systemu na obszary

Narzędzia do wspierania Code Review

  • Jakie narzędzia ułatwiają manualne Code Review?

  • Praktyczne zastosowanie narzędzi statycznej analizy kodu (SAST)

  • Zalety i ograniczenia statycznej analizy kodu

  • Przykłady konfiguracji i analizy wyników

  • Warsztat z uruchomienia automatycznej analizy kodu

Code Review z użyciem AI

  • W jaki sposób sztuczna inteligencja może wspierać analizę kodu?

  • Zalety i ograniczenia podejścia opartego na AI

  • Przedstawienie modeli publicznych i prywatnych

  • Przykłady analiz kodu opartych na AI

  • Warsztat samodzielnej analizy kodu z modelami AI

  • Porównanie skutecznosci analiz z uzyciem różnych modeli

Elastyczna automatyzacja sprawdzania kodu

  • Tworzenie własnych reguł detekcji błędów

  • Testy konwencji

  • Własne reguły w Semgrep

  • Własne reguły jako testy

Podsumowanie zasad efektywnej analizy bezpieczenstwa kodu

  • Komunikacja

  • Analiza techniczna

  • Dekompozycja złożonych systemów

  • Warsztat z analizy dużego projektu

Autorem szkolenia jest Adrian Sroka

Architekt bezpieczeństwa i konsultant IT. Moim celem jest uczynienie świata bezpieczniejszym poprzez tworzenie lepiej zabezpieczonych aplikacji i systemów IT. Wierzę, że skuteczne podejście do bezpieczeństwa zaczyna się od dobrze zaprojektowanego procesu developmentu. Specjalizuję się w integracji bezpieczeństwa z procesem tworzenia oprogramowania. Dzięki bogatemu doświadczeniu w budowie systemów IT skutecznie wdrażam praktyki i rozwijam społeczności związane z bezpieczeństwem w firmach.

Wybrane opinie

Przeczytaj pozytywne opinie pochodzące z ankiet satysfakcji z naszych szkoleń wypełnianych wyłącznie przez ich uczestników po realizacji usługi

4.8
Ikona podpowiedziŚrednia ocen Sages w serwisie Google Ocena pochodzi ze średniej ocen Sages w serwisie Google i nie jest weryfikowana

20.03.2025

Nawiązywało do przypadków bliskich naszemu biznesowi

Uczestnik szkoleniaProjektowanie modeli domen z wykorzystaniem Domain-Driven Design i Event StormingWojciech Pyszko

Więcej opinii

Podobne szkolenia