web-dev-qa-db-ja.com

開発者向けのアプリケーションセキュリティトレーニング

組織内にアプリケーションセキュリティグループを確立しようとしています。ペネトレーションテスター向けのコースは多数ありますが、開発者/ QAテスター向けの同数のトレーニングコースを見つけることができません。

私が協力しているチームは、コア機能(開発、テスト、テストの自動化)に関しては非常に能力がありますが、アプリケーションセキュリティへの露出は非常に限られています-OWASPトップ10の非常に基本的な知識

私は彼らが知識を構築するのを助けるコースをインターネットで探しました、そしてこれまでのところ私はSANSからの2-3のコースとAspect Securityからのトレーニングバンドルを見つけました。コミットする前に意見を求めたかったので、まだこれらのいずれも試していません

理想的なコースには次のものが含まれている必要があります。

  • OWASPトップ10に理想的に基づいた紹介
  • フレームワークとして提示されるのが理想的な防御技術(OWASP ESAPIなど)
  • 自動侵入テストと手動侵入テストを好むQAテスター向けのセキュリティテスト
  • WAFの適用(仮想パッチ用)

このコンテンツを提供できるコースバンドルを知っていますか、または別のプロバイダーの個々のコースを探しているのですか?もしそうなら、あなたが使用したトレーニングプロバイダーの名前を教えてもらえますか?あなたは満足していますか?

16

私が知っているいくつかの無料のリソースがあり、どれがこの種のものの良い紹介になるかもしれません。セキュリティイノベーションには無料 OWASPトップ10 CBT があり、セキュリティコンパスには ここ と同じようなものがあります Trustwave

これらの基本的なものを超えて、これらの企業の少なくとも2つには、より多くの代償を払うオプションがありますが、これらのオプションは、無料の優れた出発点になる可能性があります。

9
Rory McCune
3
D.W.

チェックアウト Safelight Security 。彼らは開発者向けの完全なカリキュラムを持つアプリケーションセキュリティトレーニングに焦点を当てています。完全な開示-私はSafelightで働いています!情報を取得したい場合は、Larry Gorkun [email protected]から直接リクエストできます。

2
Mike Maziarz

Codebashing とその SQLインジェクションデモ を確認してください。

彼らは、開発者/学生がサンドボックス化された戦争ゲームを使用してセキュリティの問題をテストできるようにするインタラクティブなチュートリアルを提供するクラウドホスト型アプリケーションセキュリティトレーニングプラットフォームを開発しました。 Codeacademyに非常に似ていますが、アプリケーションのセキュリティが必要です。

完全な開示-私はwww.codebashing.comのコンテンツ開発者です

1
Toby