Målet er at deltagerne skal forstå, få mer innsikt og praktisk erfaring med applikasjonssikkerhet (AppSec), samt forstå hvordan AppSec hjelper med å redusere forretningsrisiko for et vellykket cyber angrep i bedriften.
I workshopen lærer vi sammen med utviklere, om hvordan de kan praktisere applikasjonssikkerhet i utviklingslivssyklusen. Applikasjonssikkerhet handler om å integrere sikkerhet i hele S-SDLC (Secure Software Development Lifecycle). Enten det er planleggingsfasen, utvikling, distribusjon eller vedlikeholdsfasen, finnes det sikkerhetstrinn som kan og bør brukes gjennom hele livssyklusen til en applikasjon. Hensikten med å praktisere AppSec er å redusere risikoen for et vellykket cyberangrep mot din organisasjon som kan skade virksomheten.
Workshopen er en praktisk workshop som introduserer teoretiske emner, etterfulgt av praktiske eksempler og øvelser for deltakerne.
Målgruppe:
Denne workshopen er for programvareutviklere som utvikler webbaserte applikasjoner / APIer.
Forutsetninger:
Grunnleggende eller middels forståelse av JavaScript/Typescript, Node, Docker eller/og andre webrelaterte teknologier. Deltakerne må ta med egne enheter (PC/Mac) til workshopen, installert med deres foretrukne utviklingsverktøy.
Emner som dekkes under workshopen:
Trusselmodellering
• Grunnleggende om trusselmodellering, rammeverk (f.eks. STRIDE), og hvorfor det er kritisk i cybersikkerhet.
OWASP Top 10
• Identifisere OWASP Top 10 sårbarheter i en eksempelapplikasjon. Verktøy som OWASP ZAP eller et forhåndskonfigurert miljø brukes for å øve på å finne og fikse sårbarheter.
Sikker kodepraksis
• Introduksjon til prinsipper for sikker koding, eksempler på vanlige fallgruver, og grunnleggende om Content Security Policy (CSP). Skrive sikre kodeeksempler med fokus på CSP og inputvalidering.
Håndtering av sårbarheter
• Introduksjon til strategier for sårbarhetshåndtering. Verktøyoversikt: Dekker emner som SAST, SCA og verktøyet Snyk.
Automatisering av sikkerhetstester
• Introduksjon til CI/CD pipeline-sikkerhet. Viktigheten av sikkerhetstester i programvareutviklingslivssyklusen. Dypdykk i DAST og dens rolle i automatisert sikkerhetstesting.
Avansert håndtering av sårbarheter
• Avanserte konsepter i SAST og SCA. Forståelse av avhengighetsrisikoer og prioritering av utbedring. Praktisk arbeid med SCA-verktøy for å identifisere og løse open-source sårbarheter i et eksempelprosjekt.