Security Training for Developers
IT-Sicherheit (engl. IT-Security) ist bei der modernen Entwicklung von Softwareprodukten nicht mehr wegzudenken. Wer Sicherheitsaspekte hinten anstellt oder diese nicht von vorneherein mit einplant, findet sich früher oder später vor großen Problemen wieder. Entweder weil das Image des eigenen Unternehmens unter einem öffentlich bekannt gewordenen Datenklau leidet oder weil sich eine regulatorische Behörde einschaltet.
Sicherheit in der Softwareentwicklung ist keine einmalige Tätigkeit, die mittels einer Checkliste kurz vor dem Release abgehandelt werden kann! Vielmehr sollte die Berücksichtigung ein ständiger Begleiter im gesamten agilen Softwarelebenszyklus sein.
Hierbei sind die Anforderungen an ein Security Training so unterschiedlich wie die Unternehmen selbst.
Individuelle und maßgeschneiderte Trainings mit unseren Modulen
Mit unseren einzelnen Modulen aus den Leveln
können wir Ihnen individuelle und maßgeschneiderte Trainings anbieten, die perfekt auf die Bedürfnisse Ihrer Entwickler abgestimmt sind. Hier sind wir ganz flexibel. Neben öffentlichen Schulungen zu festen Terminen bieten wir auch Individualschulungen an. Und so einfach geht es: Wählen Sie Ihre Kursinhalte aus, und lassen Sie sich an Ihrem Wunschort und zu Ihrem Wunschtermin Ihren ganz persönlichen Kurs zusammenstellen.
In unseren öffentlichen Trainings finden sich von uns zusammengestellte Kombinationen aus diesen Modulen:
Kursinhalte
Mit unserer langjährigen Erfahrung aus Beratung, Entwicklung und Training haben wir unterschiedliche Security-Module für Sie entwickelt. Welche Module entsprechen Ihren Kenntnissen, Bedarfen und Vorstellungen? Gerne beraten wir sie individuell! Kontaktieren Sie uns direkt und erstellen Sie mit uns gemeinsam Ihr maßgeschneidertes Security Training for Developers.
Die einzelnen Module und die von uns empfohlenen Zielgruppen und Vorkenntnisse finden Sie hier:
Security for Developers Training aufgeteilt in Module.Quelle: eigene Darstellung
Zwei besonders beliebte und empfehlenswerte Kombinationen sind unsere Tagestrainings
- Sec4Beginners und
- Sec4Intermediates
Zu diesen Trainings bieten wir regelmäßig öffentliche Termine an:
Sec4Beginners
Kursdauer: 09:00 Uhr – 17:00 Uhr
- Sicherheit im Sprint
- Agile Sicherheitswerte
- Grundbegriffe der Sicherheit
- DevSecOps und Agile Security
- Typen von Angreifern
- Sicherheit im Refinement
- Sicherheit im Sprint Planning
- Security Requirements Engineering im Überblick
- Kompakte Einführung in die wesentlichen Konzepte von Security First (Threat Modeling, Attack Trees)
- Erstellung von Security-Requirements (sichere User Stories)
- Einführung in ASVS (Application Security Verification Standard) und wie daraus Sicherheitsanforderungen abgeleitet werden können.
- Sicherheit während der Entwicklung
- Secure Coding Patterns
- Sichere Architektur
- Security Testing Pyramide
- Einführung in die Sicherheitstests
- OWASP Top 10 für Einsteiger
- Einführung in OWASP Top 10
Sec4Intermediates
Kursdauer: 09:00 Uhr – 17:00 Uhr
- Security First – Threat Modeling und Co.
- Die Grundkonzepte von Threat Modeling und Attack Trees verstehen.
- Welche Tools bieten sich an, um den Threat Modeling Prozess umzusetzen?
- Wie können die Konzepte in den agilen Softwareentwicklungszyklus integriert werden?
- Hacking for Developers
- Mindset eines Security bzw. Penetration Testers entwickeln
- Lernen Sie wie sie Sicherheitsschwachstellen vermeiden können?
- Einführung im Durchführen manueller und automatisierter Sicherheitstests
- Spring Security Bootcamp
- Grundlegende Konzepte von Authentifizierung, Autorisierung und Passwortverschlüsselung
- Typische Sicherheitsprobleme wie Session Fixation oder CSRF und wie man diese mit Spring Security entschärft
- Wie man Authentifizierung und Autorisierung implementiert und automatisch testet
- Unterschiede bei der Verwendung von Spring Security für Servlet-basierte (MVC) vs. reaktive Webanwendungen (Reactor/WebFlux)
- OAuth2 – OpenID Connect
- Vermittlung der Theorie bzgl. OAuth 2.0 und OpenID Connect 1.0 (OIDC)
- Angriffsmöglichkeiten auf die Protokolle OAuth und OIDC
- Praktische Umsetzung am Beispiel von Spring Security 5 und JBoss Keycloak als Identity Provider
- Container/Kubernetes Security
- Linux Basics für Container (Namespaces usw.)
- Container Image Security
- Sicherheitskonzepte in Kubernetes (RBAC, OPA, usw.)
Termine
Zielgruppe
Dieses Training wird allen empfohlen, die die Sicherheit im gesamten Softwarelebenszyklus erhöhen möchten:
- Entwickler
- Architekten
- Product Owner
- Requirements Engineering
- Scrum Master
- Projektleiter
Lernen Sie die Kernkonzepte von Security kennen. Schützen Sie ihre Projekte von Anfang an mit der Anwendung von Wissen über Security.
Teilnehmergebühr
Die Teilnehmergebühr beträgt jeweils 795 € zzgl. MwSt. inklusive Kursunterlagen und Verpflegung während des Kurses. (Verpflegung gilt nur für Präsenz-Termine)
Zudem erstellen wir für Sie auf Anfrage gerne Teilnahmebescheinigungen.
Bei Anmeldungen 30 Tage vor Kursbeginn können wir Ihnen einen Frühbucherrabatt in Höhe von 10% gewähren. Wenn Sie mehr als einen Teilnehmer anmelden wollen, können wir Ihnen zudem attraktive Gruppenrabatte anbieten.
Unsere Trainer
Deshalb setze ich mich dafür ein, schon frühzeitig das Bewusstsein für Security zu schärfen – sowohl bei Entwicklern als auch bei Managern. Bei Novatec entwickle ich agile cloud-native Java- und Kotlin-Applikationen auf Basis der Spring-Plattform und berate die Kunden rund um diese Themen. Um Security so früh wie möglich in ihren agilen Arbeitsprozess zu integrieren, gebe ich Teams im „Security Training for Developers“ Werkzeuge an die Hand, die sie hierbei unterstützen. Das ist entscheidend – denn je früher die Schwachstellen aufgedeckt werden, desto besser. Meine Analysemethoden und Tools zur Erkennung von Schwachstellen bei CD-Pipelines stelle ich auf Workshops und Konferenzen vor und blogge zum Thema Agile Security.
