Trainings

Grundlagen der Web Security und Secure Coding mit Java EE

  • Darstellung von häufigen Schwachstellen in Webanwendungen und deren Auswirkungen (inkl. der OWASP Top 10)
  • Einführung in Vorgehensweisen von Hackern
  • Diskussion von Gegenmaßnahmen (Data Validation, Session Management, Authentifizierung, Autorisierung, etc.) mit vielen Codebeispielen
  • Vorstellung von Tools und Techniken zum Selbsttest
  • Einbeziehung aktueller Projektthemen des Kunden
  • Hands-on Übungen

Das Training ist in Module aufgebaut, wodurch das Training je nach Bedarf des Kunden individuell zusammengestellt werden kann.

Dauer: 1-2 Tage


Workshop Agile Security & SecDevOps

Dieses Seminar richtet sich an alle Mitarbeiter in agilen Entwicklungsprojekten (Product Owner, Scrum Master, Entwickler, Tester und natürlich Security Professionals). Es werden hierbei generelle Probleme und entsprechende Lösungsansätze für agile Projekte anschaulich vermittelt.

Inhalte sind u.a.:

  • Grundlagen von Web & Agile Security
  • Best Practices für Scrum- und Kanban-basierte Projekten (Rollen, Tools, Vorgaben, etc.)
  • Sicherheitsanforderungen und -aktivitäten in agilen Projekten (Security Stories, Evil Stories, Security Refinements, Threat Modeling, Pentests etc.)
  • Einsatz von JIRA als Planungs- und Auswertungstool für Sicherheitsaktivitäten und -Risiken
  • Agile Security Testing (Security-Testautomatisierung, Pentests, etc.)
  • Security bei Continuous Delivery / Deployment (SecDevOps)

Dauer: 4 Stunden


Tool-basierte Sicherheitsanalysen

In diesem Seminar werden die Teilnehmer in der der Durchführung tool-basierter Sicherheitsanalysen ausgebildet.

Inhalte sind u.a.:

  • Grundlagen der Web Security
  • Grundlagen der Security-Testautomatisierung
  • Statische und dynamische Codeanalysen (SAST, IAST)
  • Websecurity-Scanner (DAST)
  • Software Composition Analyse (SCA)
  • Kritische Diskussion gängiger Tools im OpenSource und Kommerziellen Bereich und ihre Limitationen
  • Best Practices bzgl. Integration Build bzw. CI-/CD-Toolkette (z.B. durch Integration in Jenkins)
  • Management und Bewertung von Security Findings (inkl. Diskussion entsprechender Metriken wie CVSS)

Es werden Grundlagen, Best Practices, Ansätze und Tools sowie ihrer jeweiligen Vor- und Nachteile erläutert und teilweise auch mit Hand-On-Übungen von den Schulungsteilnehmern nachvollzogen.

Auf Wunsch kann in diesem Seminar auf bestimmte Tools eingegangen werden (bzw. sich hierauf fokussieren), welche der Kunde etwa gerade im Einsatz hat oder deren Anschaffung er plant.

Dauer: 3-4 Stunden

Individuelles Coaching

Die sicherlich effektivste Form von Ausbildung besteht im gezielten Coaching einzelner Personen bzw. Rollen  (z.B. Entwickler, Projektleiter, Security Tester, Security Manager, etc.). Die Inhalte werden hierzu individuell an den Zielen und Vorkenntnissen der Teilnehmer abgestimmt.

Natürlich lassen sich im Rahmen eines Coachings auch gezielt die Anwendung von Security Tools (Installation, Bedienung, Regelerstellung, Reporting) vermitteln.