1712029
Secure Software Engineering Professional - TÜV
Praxisnahes Seminar zur sicheren Softwareentwicklung
Seminar3 Tage
DEPräsenz / Live Online
Sichere Softwareentwicklung wird mit der zunehmenden Digitalisierung zu einem der wichtigsten Wettbewerbsfaktoren. Auch zur Reduktion des Haftungsrisikos gemäß der ProdHaftRL (RICHTLINIE (EU) 2024/285) ist das Entwickeln sicherer Software unabdingbar. Dieses Training zur sicheren Softwareentwicklung behandelt diese wichtige Thematik praxisnah und ganzheitlich, über alle Entwicklungsschritte. Dabei werden entsprechende Konzepte, Methoden und Prozesse betrachtet und praktisches Wissen zu deren Umsetzung vermittelt und geübt.
- Dieses Training vermittelt zudem, wie ein Rahmenwerk für Anwendungssicherheitsmaßnahmen auf Basis der ISO/IEC 27034, also ein Anwendungssicherheitsmanagementsystem (ASMS), eingerichtet wird, das die Sicherheit von Anwendungen gewährleistet, unabhängig davon, ob die Anwendung selbst intern entwickelt, durch einen Dienstleister entwickelt oder als Produkt von einem Anbieter eingekauft wird.
- Der sogenannte Secure Software Development Lifecycle (SDLC) nimmt dabei eine zentrale Rolle ein. Der SDLC verankert Methoden und Maßnahmen in jedem Entwicklungsschritt, die dafür sorgen, dass die resultierende Software hohen Sicherheits- und damit Qualitätsanforderungen genügt. Diese Methoden und Maßnahmen werden im Training ausführlich und praxisnah behandelt.
- Die Kompetenz für die Beurteilung und Auswahl von Anwendungssicherheitsmaßnahmen wird dabei anhand von etablierten Normen und Standards erworben, wie ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 15408 (Common Criteria), NISP SP 800-53, IT-Grundschutz-Kompendium des BSI, OWASP Top 10, OWASP Application Security Verification Standard.
- Dieses Training vermittelt anhand praktischer Beispiele und Übungen auch die Vorgehensweise von Angreifern. Zu diesem Zweck werden typische Angriffswerkzeuge mit Hilfe der Kali-Linux-Distribution verwendet und Anwendungen, die zu Übungszwecken absichtlich Schwachstellen enthalten. Aus den dadurch gewonnenen Erkenntnissen werden geeignete Schutzmaßnahmen, aber auch Maßnahmen für das Testen, speziell Penetration Testing, abgeleitet.
-> Hinweis: Wenn Sie die Beispiele und Übungen selbst durchführen möchten, bringen Sie bitte Ihren Laptop mit und installieren vorher darauf- Kali-Linux (https://www.kali.org/get-kali/),
- OWASP Juice-Shop (https://owasp.org/www-project-juice-shop/) und
- DVWA (Damn Vulnerable Web Application: https://github.com/digininja/DVWA)
in virtuellen Maschinen.
Wir vermitteln Ihnen:
- wie Sie Prozesse, Komponenten und Rahmenwerke zum Sicherheitsmanagement von Softwareanwendungen anwenden können.
- wie Sie einen Application Security Management-Prozess einrichten, umsetzen und aufrechterhalten können.
- wie Sie Sicherheitsmaßnahmen für Softwareanwendungen für Ihren Kontext ableiten. beurteilen und auswählen können.
- wie Sie die Sicherheit von Software testen und bewerten können.
- Motivation und Grundlagen der IT- und Anwendungssicherheit
- Anwendungssicherheitsmanagementsystem (ASMS) in Anlehnung an ISO/IEC 27034
- Planung (Plan):
- Sicherheitsanforderungen
- Bedrohungsmodellierung (Threat Modeling)
- Quellen von Bedrohungen und Maßnahmen
- Sicherer Entwurf: Entwurfsprinzipien und Privacy by Design
- Umsetzung (Do):
- Implementierungsrichtlinien
– Management von Drittkomponenten und deren Lizenzen
– Sichere Konfiguration: Secure Defaults, Privacy by Default
- Implementierungsrichtlinien
- Überprüfung (Check): Test
- Quellen für Testfälle
– Kategorien von Tests und Werkzeugen
– Bewertung von Schwachstellen: CVE und CVSS mit Praxisübung
– Pentest
– Sprint Review und Sprint Planning
- Quellen für Testfälle
- Verbesserung (Act): Logging, Monitoring, Reaktion auf Schwachstellen
- DevSecOps
- Zusammenfassung und Konsequenzen (Pflichten und Haftung)
- Umfassende zusätzliche Handreichungen zur weiteren Vertiefung für Interessierte (optional)
Teilnahmebescheinigung sowie bei Bestehen der Prüfung Zertifikat "Secure Software Engineering Professional - TÜV"
Zertifikat Information Security Foundation oder Information Security Officer-TÜV (oder eine vergleichbare Qualifikation) empfohlen aber nicht zwingend erforderlich
- Dieses Training wird in deutscher Sprache durchgeführt.
- Am Ende dieser Seite finden Sie die Informationen zur Online-Prüfung, die bei Online-Veranstaltungen zum Tragen kommen.
- Information Security Officer (ISO/CISO)
- Informationssicherheitsbeauftragte/-verantwortliche
- Software-Entwicklungsmanager
- Software-Architekten, IT-Auditoren, Revisionen
- Projektmanager, Produktmanager
- Software-Einkäufer
- Beteiligte am Softwareenwicklungsprozess
Fachtrainer der TÜV SÜD Akademie
