Trainings

Grundlagen der Web Security und Secure Coding mit Java EE

  • Darstellung von häufigen Schwachstellen in Webanwendungen und deren Auswirkungen (inkl. der OWASP Top 10)
  • Einführung in Vorgehensweisen von Hackern
  • Diskussion von Gegenmaßnahmen (Data Validation, Session Management, Authentifizierung, Autorisierung, etc.) mit vielen Codebeispielen
  • Vorstellung von Tools und Techniken zum Selbsttest
  • Einbeziehung aktueller Projektthemen des Kunden
  • Hands-on Übungen

Das Training ist in Module aufgebaut, wodurch das Training je nach Bedarf des Kunden individuell zusammengestellt werden kann.

Dauer: 1-3 Tage


Workshop Agile Security & SecDevOps

Dieses Seminar richtet sich an alle Mitarbeiter in agilen Entwicklungsprojekten (Product Owner, Scrum Master, Entwickler, Tester und natürlich Security Professionals). Es werden hierbei generelle Probleme und entsprechende Lösungsansätze für agile Projekte anschaulich vermittelt.

Inhalte sind u.a.:

  • Grundlagen von Web & Agile Security
  • Best Practices für Scrum- und Kanban-basierte Projekten (Rollen, Tools, Vorgaben, etc.)
  • Sicherheitsanforderungen und -aktivitäten in agilen Projekten (Security Stories, Evil Stories, Security Refinements, Threat Modeling, Pentests etc.)
  • Einsatz von JIRA als Planungs- und Auswertungstool für Sicherheitsaktivitäten und -Risiken
  • Agile Security Testing (Security-Testautomatisierung, Pentests, etc.)
  • Security bei Continuous Delivery / Deployment (SecDevOps)

Dauer: 0,5 – 1 Tag


Tool-basierte Sicherheitsanalysen

In diesem Seminar werden die Teilnehmer in der der Durchführung tool-basierter Sicherheitsanalysen ausgebildet.

Inhalte sind u.a.:

  • Grundlagen der Web Security
  • Grundlagen der Security-Testautomatisierung
  • Statische und dynamische Codeanalysen (SAST, IAST)
  • Websecurity-Scanner (DAST)
  • Testautomatisierung mittels AppSec Pipelines
  • Tools und ihre Limitationen
  • Security Test Metriken und Reporting

Es werden Grundlagen, Best Practices, Ansätze und Tools sowie ihrere jeweiligen Vor- und Nachteile erläutert und teilweise auch mit Hand-On-Übungen von den Schulungsteilnehmern nachvollzogen.

Auf Wunsch kann die Schulung sich auf spezifische Tools fokussieren, welche der Kunde etwa gerade im Einsatz hat oder deren Anschaffung er plant.

Dauer: 1 Tag

Individuelles Coaching

Die sicherlich effektivste Form von Ausbildung besteht im gezielten Coaching einzelner Personen bzw. Rollen  (z.B. Entwickler, Projektleiter, Security Tester, Security Manager, etc.). Die Inhalte werden hierzu individuell an den Zielen und Vorkenntnissen der Teilnehmer abgestimmt.

Natürlich lassen sich im Rahmen eines Coachings auch gezielt die Anwendung von Security Tools (Installation, Bedienung, Regelerstellung, Reporting) vermitteln.