Säker programutveckling i C/C++ Träningskurs

Denna instruktörsledda, live-träningskurs i Sverige (online eller på plats) riktas till utvecklare som vill använda avancerade C++-programmeringstekniker för att utveckla komplexa, säkra och högpresterande system och program.

Genom denna träningskurs kommer deltagarna att kunna:

• Sätta upp en utvecklingsmiljö som inkluderar alla C++-bibliotek, paket och ramverk.
• Förstå egenskaperna, komponenterna och grundläggande elementen i C++.
• Skapa komplexa C++-program med hjälp av avancerade programmeringstekniker.
• Lär sig hur man skriver läsbar, snabb och säker kod på C++.
• Känna till de vanliga säkerhetsproblem som kan uppstå i C++-språket och hur man minimerar dem.
• Implementera teststrategier för kvalitetskontroll och säkerhetsstyrning.
• Använd diagnostik- och felsökningsverktyg i C++-utveckling.

Det kan vara svårt att implementera ett säkert nätverksprogram, även för utvecklare som kanske har använt olika kryptografiska byggstenar (till exempel kryptering och digitala signaturer) i förväg. För att få deltagarna att förstå rollen och användningen av dessa kryptografiska primitiver, ges först en solid grund för de viktigaste kraven på säker kommunikation – säker bekräftelse, integritet, konfidentialitet, fjärridentifiering och anonymitet – samtidigt som de typiska problemen som kan skada dessa krav presenteras tillsammans med verkliga lösningar.

Eftersom en kritisk aspekt av nätverkssäkerhet är kryptografi, diskuteras också de viktigaste kryptografiska algoritmerna inom symmetrisk kryptografi, hashing, asymmetrisk kryptografi och nyckelöverenskommelse. Istället för att presentera en djupgående matematisk bakgrund diskuteras dessa element ur en utvecklares perspektiv och visar typiska exempel på användningsfall och praktiska överväganden relaterade till användningen av krypto, såsom infrastrukturer för offentliga nycklar. Säkerhetsprotokoll inom många områden av säker kommunikation introduceras, med en djupgående diskussion om de mest använda protokollfamiljerna som IPSEC och SSL/TLS.

Typiska kryptosårbarheter diskuteras både relaterade till vissa kryptoalgoritmer och kryptografiska protokoll, såsom BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding oracle, Lucky Thirteen, POODLE och liknande, samt RSA timing attack. I varje enskilt fall beskrivs de praktiska övervägandena och de potentiella konsekvenserna för varje problem, återigen utan att gå in på djupa matematiska detaljer.

Slutligen, eftersom XML-tekniken är central för datautbyte mellan nätverksanslutna applikationer, beskrivs säkerhetsaspekterna av XML. Detta inkluderar användningen av XML i webbtjänster och SOAP-meddelanden tillsammans med skyddsåtgärder som XML signatur och XML kryptering – samt svagheter i dessa skyddsåtgärder och XML-specifika säkerhetsproblem som XML injektion, XML attacker med externa enheter (XXE), XML bomber och XPath injektion.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Förstå kraven på säker kommunikation
• Lär dig mer om nätverksattacker och skydd i olika OSI-lager
• Ha en praktisk förståelse för kryptografi
• Förstå viktiga säkerhetsprotokoll
• Förstå några av de senaste attackerna mot kryptosystem
• Få information om några av de senaste relaterade sårbarheterna
• Förstå säkerhetskoncept för webbtjänster
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare, proffs

Även erfarna Java-utvecklare behärskar inte alltid alla de säkerhetstjänster som Java erbjuder, och är heller inte alltid medvetna om de olika sårbarheter som är relevanta för webbapplikationer skrivna i Java.

Kursen – förutom att presentera säkerhetskomponenterna i Standard Java Edition – behandlar säkerhetsfrågor kopplade till Java Enterprise Edition (JEE) och webbtjänster. Diskussionen om specifika tjänster inleds med grunderna inom kryptografi och säker kommunikation. Olika övningar handlar om deklarat och programmatiskt säkerhetsteknik inom JEE, samtidigt som både transportlager- och slut-i-slut-säkerhet för webbtjänster diskuteras. Användningen av alla komponenter presenteras genom flera praktiska övningar, där deltagarna kan prova de diskuterade API:erna och verktygen själva.

Kursen går även igenom och förklarar de vanligaste och allvarligaste programmeringsbristerna inom Java-språket och plattformen samt webbrelerade sårbarheter. Förutom de vanliga buggarna som Java-utvecklare begår, täcker de presenterade säkerhetssårbarheterna både språkspecifika problem och problem som uppstår från körningsmiljön. Alla sårbarheter och relevanta attacker demonstreras genom lättförståeliga övningar, följt av rekommenderade kodningsriktlinjer och möjliga motåtgärder.

Deltagare som går den här kursen kommer att

• Förstå grundbegrepp inom säkerhet, IT-säkerhet och säker kodskrivning
• Lära sig om webbsårbarheter utöver OWASP Top Ten och veta hur man undviker dem
• Förstå säkerhetskoncept för webbtjänster
• Lära sig att använda olika säkerhetsfunktioner i Java-utvecklingsmiljön
• Ha en praktisk förståelse för kryptografi
• Förstå säkerhetslösningarna för Java EE
• Lära sig om vanliga kodningsfel och hur man undviker dem
• Få information om några nyliga sårbarheter i Java-ramverket
• Få praktisk kunskap i att använda säkerhetstestningsverktyg
• Få källor och vidare läsning om säkra kodningsmetoder

Målgrupp

Utvecklare

Det finns idag flera programmeringsspråk tillgängliga för att kompileria kod till .NET- och ASP.NET-miljöerna. Denna miljö erbjuder kraftfulla verktyg för säkerhetsutveckling, men utvecklare måste veta hur de kan applicera programmeringstekniker på arkitektur- och kodnivå för att implementera önskad säkerhetsfunkionalitet, undvika sårbarheter eller begränsa deras utnyttjande.

Kursens mål är att lära utvecklare, genom många praktiska övningar, hur man förhindrar o betrodd kod från att utföra privilegierade åtgärder, skydda resurser genom stark autentisering och auktorisation, tillhandahålla fjärrfunktionssamtal (RPC), hantera sessioner, introducera olika implementationer för viss funktionalitet, samt mycket mer.

Introduktionen av olika sårbarheter börjar med att presentera typiska programmeringsproblem som begås vid användning av .NET, medan diskussionen om sårbarheter i ASP.NET också behandlar olika miljöinställningar och deras effekter. Avslutningsvis behandlar ämnet om ASP.NET-specifika sårbarheter inte bara allmänna säkerhetsutmaningar för webbapplikationer, utan också särskilda problem och attackmetoder, såsom attacker mot ViewState eller strängavslutningsattacker.

Deltagare som går denna kurs kommer

• att förstå grundläggande koncept inom säkerhet, IT-säkerhet och säkra kodningsmetoder
• att lära sig om webbsårbarheter bortom OWASP Top Ten och veta hur man undviker dem
• att lära sig använda olika säkerhetsfunktioner i .NET-utvecklingsmiljön
• att få praktisk kunskap i användningen av säkerhetstestningsverktyg
• att lära sig om vanliga kodningsfel och hur man undviker dem
• att få information om några nyligen upptäckta sårbarheter i .NET och ASP.NET
• att få källor och vidare läsning om säker kodningspraxis

Målgrupp

Utvecklare

Kursen ger viktiga färdigheter för PHP utvecklare som är nödvändiga för att göra sina applikationer resistenta mot samtida attacker via Internet. Webbsårbarheter diskuteras genom PHP-baserade exempel som går utöver OWASP topp tio, och hanterar olika injektionsattacker, skriptinjektioner, attacker mot sessionshantering av PHP, osäkra direkta objektreferenser, problem med filuppladdning och många andra. PHP-relaterade sårbarheter introduceras grupperade i standardsårbarhetstyperna för saknad eller felaktig validering av indata, felaktig fel- och undantagshantering, felaktig användning av säkerhetsfunktioner och tids- och tillståndsrelaterade problem. För det senare diskuterar vi attacker som open_basedir circumvention, denial-of-service through magic float eller hash table collision attack. I alla fall kommer deltagarna att bekanta sig med de viktigaste teknikerna och funktionerna som ska användas för att minska de värvade riskerna.

Ett särskilt fokus läggs på säkerhet på klientsidan för att hantera säkerhetsfrågor som JavaScript, Ajax och HTML5. Ett antal säkerhetsrelaterade tillägg till PHP introduceras, t.ex. hash, mcrypt och OpenSSL för kryptografi, eller Ctype, ext/filter och HTML Purifier för validering av indata. De bästa härdningsmetoderna ges i samband med PHP konfiguration (inställning php.ini), Apache och servern i allmänhet. Slutligen ges en översikt över olika verktyg och tekniker för säkerhetstestning som utvecklare och testare kan använda, inklusive säkerhetsskannrar, penetrationstestning och exploit packs, sniffers, proxyservrar, fuzzing-verktyg och statiska källkodsanalysatorer.

Både introduktionen av sårbarheter och konfigurationsmetoderna stöds av ett antal praktiska övningar som visar konsekvenserna av framgångsrika attacker, visar hur man tillämpar begränsningstekniker och introducerar användningen av olika tillägg och verktyg.

Deltagare som deltar i denna kurs kommer att

• Förstå grundläggande begrepp inom säkerhet, IT-säkerhet och säker kodning
• Lär dig webbsårbarheter utöver OWASP Top Ten och vet hur du undviker dem
• Lär dig sårbarheter på klientsidan och säkra kodningsmetoder
• Ha en praktisk förståelse för kryptografi
• Lär dig att använda olika säkerhetsfunktioner i PHP
• Lär dig mer om typiska kodningsfel och hur du undviker dem
• Håll dig informerad om de senaste sårbarheterna i PHP-ramverket
• Få praktisk kunskap om hur du använder verktyg för säkerhetstestning
• Få källor och ytterligare läsning om säkra kodningsmetoder

Publik

Utvecklare

Det kombinerade SDL-kärnutbildningen ger insikt i säker programdesign, -utveckling och -testning genom Microsoft Secure Development Lifecycle (SDL). Den ger en överblick på grundläggande byggnadsstenar i SDL, följt av designmetoder för att identifiera och åtgärda brister i tidiga utvecklingssteg.

När det gäller utvecklingsfasen ger kursen en överblick över de typiska säkerhetsrelevanta programmeringsfel som finns både i hanterade och inbyggda koder. Angriffsmetoder presenteras för de diskuterade sårbarheterna tillsammans med associerade åtgärdsmetoder, alla förklarade genom en mängd praktiska övningar som ger deltagarna roligt med live-hackning. Efter en introduktion till olika säkerhetsprovningstechniker demonstreras effektiviteten av olika provningsverktyg. Deltagarna kan förstå hur dessa verktyg fungerar genom en mängd praktiska övningar genom att använda verktygen på den redan diskuterade sårbara koden.

Deltagare som deltar i denna kurs kommer att

Förstå grundläggande koncept inom säkerhet, IT-säkerhet och säker programmering

Kännas väl till de viktigaste stegen i Microsoft Secure Development Lifecycle

Lär sig om säkra design- och utvecklingspraktiker

Lär sig om principer för säker implementering

Förstå säkerhetsprovningsteknik

• Få källor och ytterligare läsning om säkra programmeringspraktiker

Målgrupp

Utvecklare, Chefer

Är C++ lämplig för inbyggda system som mikrokontroller och realtidsoperativsystem?

Bör objektorienterad programmering användas i mikrokontroller?

Är C++ för avlägset från hårdvara för att vara effektiv?

Denna instruktörsledda, liveutbildning behandlar dessa frågor och visar genom diskussion och praktik hur C++ kan användas för att utveckla inbyggda system med kod som är noggrann, lättläst och effektiv. Deltagarna lägger teorin i praktiken genom att skapa ett exempel på ett inbyggt program i C++.

När denna utbildning är avslutad kommer deltagarna kunna:

• Förstå principerna för objektorienterat modellering, programmering av inbyggd mjukvara och realtidsprogrammering
• Producera kod för inbyggda system som är liten, snabb och säker
• Undvika kodutvidgning från mallar, undantag och andra språkegenskaper
• Förstå problemen med att använda C++ i livscritiska och realtidsystem
• Felsöka ett C++-program på en mål-enhet

Målgrupp

• Utvecklare
• Designers

Kursformat

• Del föreläsning, del diskussion, övningar och mycket praktiskt arbetande

Det här är en 2-dagars kurs som riktar sig till C++-programmerare som är intresserade av att tillämpa den nya C++11-standarden inom sin bransch. Den är särskilt användbar för utvecklare av finansiella applikationer och täcker alla nya funktioner med kodexempel som kan köras under labbtillfället.

I denna lärarinstruerade, livekurs i Sverige, kommer deltagarna att lära sig hur man formulerar den rätta säkerhetsstrategin för att möta DevOps-säkerhetens utmaning.

EC-Council Certified DevSecOps Engineer (ECDE) är en praktisk kurs som syftar till att utrusta professionella med färdigheter att integrera säkerhet i hela DevOps livscykeln, vilket möjliggör säker programutveckling från planering till distribution.

Denna instruktörsledda, live-training (online eller på plats) riktar sig till mellanstadie-nivåprogrammerare och DevOps professionella som vill integrera säkerhetsåtgärder i CI/CD-pipelines, för att säkerställa säker och kompatibel kodleverans.

Vid kursens slut kommer deltagarna att kunna:

• Förstå principerna och praxiserna för DevSecOps.
• Säkra varje steg i CI/CD-pipelinen med hjälp av automatiserade verktyg.
• Implementera säkra kodpraxis och sårbarhetsskanning.
• Förbereda sig för ECDE-certifiering med praktiska laborationer och genomgång.

Kursformat

• Interaktiv föreläsning och diskussion.
• Hands-on användning av DevSecOps-verktyg i simulerade pipelines.
• Ledda övningar som fokuserar på säker utveckling och distribution.

Anpassningsalternativ för kursen

• För att begära en anpassad utbildning för denna kurs baserat på ditt teams arbetsflöden eller verktygskedja, kontakta oss för att ordna.

Denna utbildning syftar till att introducera C++ som det vanliga tillägget till C vid tillämpningen av objektorienterad utveckling i inbyggda system. Eftersom C++ innehåller C, tar denna utbildning oss på ett naturligt sätt från C till C++ och tittar under huven på hur C++ implementeras. Detta är särskilt värdefullt att förstå när man använder C++ i en inbyggt resursbegränsat miljö. C++-standarden har nyligen genomgått en stor revision, även känd som C++11, och en ny kommer på väg, C++14. Denna kurs behandlar ämnen som införts med dessa revisioner och som är särskilt användbara, såsom högeffektiv minneshantering, konkurrensutformning för att utnyttja ett flerkarnmiljö samt programmering nära hårdvaran.

MÅL/FÖRDELEN

Huvudmålet med denna kurs är att du ska kunna använda C++ på ett “correkt sätt”.

• Introducera C++ som en objektorienterad språkvariant i inbyggda system
• Visa likheter ‑ och skillnader ‑ med C-språket
• Förstå olika minneshanteringsstrategier – särskilt flyttsemantiken som infördes med C++11
• Titta under huven och förstå vad olika paradigm i C++ leder till i maskinkod
• Använd mallar för att uppnå typsäkra högreordade abstraktioner för programmering nära hårdvaran – minnesmappning av I/O och avbrottsprogrammering – särskilt de variadiska mallarna som infördes med C++11
• Ge några användbara designmönster särskilt anpassade för inbyggda system
• Några övningar för att öva på vissa koncept

MÅLGRUPP/DELTAGARE

Denna utbildning riktar sig till C++-programmerare som tänker börja använda C++ i en inbyggt systemkontext.

FÖRUTSATT KUNSKAP

Kursen kräver grundläggande kunskaper i C++-programmering, motsvarande våra utbildningar ”C++ – Nivå 1” och ”C++ Nivå 2 – Införandet av C++11”.

PRAKTISKA ÖVNINGAR

Ledande in i utbildningen kommer du att öva de presenterade koncepten i en mängd övningar. Vi kommer att använda den öppna och fria integrerade utvecklingsmiljön från Eclipse.

Denna instruktörsguidade, live-träning i Sverige (online eller på plats) riktas till utvecklare som vill använda C för att tillämpa objektorienterade programmeringstekniker och förbättra mjukvarudesign.

Till slut av denna träning kommer deltagarna kunna: implementera objektorienterade koncept i C, designa modulära program, tillämpa kapsling och abstraktion, samt strukturera underhållbara kodbasar.

Denna Kurs i Sverige syftar till att hjälpa till med följande:

1. Hjälp utvecklare att behärska teknikerna för att skriva säker kod
2. Hjälp mjukvarutestare att testa säkerheten hos applikationen innan publicering i produktionsmiljö
3. Hjälp mjukvaruarkitekter att förstå riskerna som omger applikationerna
4. Hjälp teamledare att fastställa säkerhetsbaslinjer för utvecklare
5. Hjälp webbmästare att konfigurera servrarna för att undvika felkonfigurationer

Denna kurs behandlar säkra kodningskoncept och principer med Java genom Open Web Application Security Project (OWASP) metodologi för testning. Open Web Application Security Project är en onlinegemenskap som skapar fritt tillgängliga artiklar, metodologier, dokumentation, verktyg och teknologier inom fältet för webbapplikationssäkerhet.

Denna kurs behandlar säkra kodningskoncept och principer med ASP.NET genom Open Web Application Security Project (OWASP) metodologi för testning. OWASP är en onlinecommunity som skapar fritt tillgängliga artiklar, metodologier, dokumentation, verktyg och teknologier inom fältet för säkerhet för webbapplikationer.

Denna kurs utforskar .NET Framework-säkerhetsfunktioner och hur man säkrar webbapplikationer.