Secure Coding: Grundlagen und Konzepte zur IT Sicherheit

Seminarziel

Das Secure Coding-Seminar hat zum Ziel, teilnehmenden Unternehmen essentielle Kenntnisse und Fertigkeiten zu vermitteln, um die Entwicklung sicherer Software zu gewährleisten und die Integrität ihrer Anwendungen zu sichern. Im Fokus des Seminars steht die Identifizierung und Minimierung von Sicherheitslücken sowie potenziellen Angriffsvektoren in der Softwareentwicklung. Es wird darauf abgezielt, das Risiko von Sicherheitsverletzungen zu verringern und die Einhaltung relevanter Sicherheitsstandards und -richtlinien zu fördern, um so die Reputation der Unternehmen zu stärken. Zusätzlich soll das Seminar Unternehmen darin unterstützen, ihre Entwicklungsprozesse von Grund auf mit einem starken Fokus auf Sicherheit zu gestalten. Dies trägt dazu bei, spätere kostspielige Korrekturen und Sicherheitsrisiken effektiv zu vermeiden.

Inhalt

• Einführung in Secure Coding: Grundlagen und Konzepte
  • Warum Secure Coding wichtig ist
  • Grundprinzipien und Best Practices
• Identifizierung von Sicherheitsbedrohungen
  • Gängige Sicherheitsbedrohungen und deren Auswirkungen
  • Angriffsvektoren und Angriffsmethoden verstehen
• Sicherheitsanforderungen definieren
  • Identifizierung von Sicherheitsanforderungen für die Softwareentwicklung
  • Sicherheitsziele und -richtlinien festlegen
• Sichere Codierungspraktiken: Teil 1
  • Verwendung sicherer Datenvalidierungstechniken
  • Schutz vor Injektionsangriffen (z. B. SQL-Injektion, XSS)
• Sichere Codierungspraktiken: Teil 2
  • Authentifizierung und Autorisierung
  • Sichere Speicherung von Benutzerdaten und Passwörtern
• Sichere Kommunikation
  • Verwendung von sicheren Protokollen (z. B. HTTPS)
  • Schutz vor Man-in-the-Middle-Angriffen
• Sichere Dateiverarbeitung und Ressourcennutzung
  • Sicherer Umgang mit Dateien und Verzeichnissen
  • Vermeidung von Speicherlecks und Ressourcenkonflikten
• Sicherheitstests und Code-Review
  • Durchführung von Sicherheitstests (z. B. Penetrationstests)
  • Code-Review-Verfahren zur Identifizierung von Sicherheitslücken
• Sichere Konfiguration und Fehlerbehandlung
  • Sichere Konfiguration von Systemen und Software
  • Effektive Fehlerbehandlung und Fehlerberichterstattung
• Sichere Webentwicklung
  • Sicherheitsaspekte von Webanwendungen (z. B. Cross-Site Scripting, Cross-Site Request Forgery)
  • Sicherheitsframeworks und -bibliotheken
• Sichere mobile Anwendungen
  • Sicherheitsaspekte von mobilen Anwendungen (z. B. Datenverschlüsselung, Zugriffsberechtigungen)
  • Sicherheitsrichtlinien für mobile Plattformen
• Sicherheitsbewusstsein und Schulung
  • Sensibilisierung der Entwickler für Sicherheitsrisiken
  • Schulungsprogramme und bewährte Methoden zur Förderung des Sicherheitsbewusstseins
• Sicherheitslebenszyklus und Secure SDLC
  • Integration von Sicherheit in den Softwareentwicklungsprozess
  • Phasen des Secure Software Development Lifecycle (SDLC)
• Sichere Code-Integration und Bereitstellung
  • Sicherheitsaspekte bei der Code-Integration
  • Automatisierte Sicherheitstests und kontinuierliche Bereitstellung
• Sichere Drittanbieter- und Open-Source-Komponenten
  • Risikobewertung von Drittanbieterkomponenten
  • Überwachung von Sicherheitslücken und Aktualisierungen
• Sicherheitsaudits und Compliance
  • Durchführung von Sicherheitsaudits und Bewertung der Compliance
  • Sicherheitsstandards und -zertifizierungen