Öffentliche Termine Inhouse (ab 4 Personen) Buchbar für Einzelpersonen und kleinere Gruppen (1-3 Personen) Schulungsort: SBA Research Termine: 1-2x pro Jahr, siehe Liste Austausch mit anderen TeilnehmerInnen Branchen spezifische Diskussion Beleuchtung verschiedener Perspektiven Anfrage Gruppen-Buchungen / Inhouse ab 4 Personen Schulungsort: SBA Research oder bei Ihnen im Unternehmen Termine: individuelle Vereinbarung Vertraulicher Austausch innerhalb des Unternehmens Lösungsfindung für spezifische Problemstellungen Diskussion Unternehmensspezifischer Fragestellungen Anfrage Inhalt Kursziele Zielgruppen Abschluss Kosten Meet the Trainer In diesem 5 tägigen Master-Class Kurs werden intensiv die folgenden drei Themenfelder durchgearbeitet: Secure Software Development Lifecycle, Threat Modeling und Web-Applikationssicherheit. Die Inhalte werden anhand von Live-Demos, ausführlicheren Übungen und theoretischen Konzepten den Teilnehmenden vermittelt. Da der Kurs über 5 Tage durchgehend Sicherheitskonzepte adressiert, wird ein ausgeprägtes Sicherheitsverständnis der Teilnehmenden gefördert. Tag 1: SDLC Fundamentals – Softwaresicherheit ganzheitlich und steuerbar – Sicherheit als Treiber für Softwarequalität – OWASP SAMM – Reifegradmodell für Software-Security-Assurance – Gängige Schwachstellenklassen und ihre automatisierte Testbarkeit Für weitere Details siehe detailierte Kursbeschreibung. Tag 2: Threat Modeling Die kostspieligsten Sicherheitsprobleme betreffen in der Regel nicht das Coding, sondern die Softwarearchitektur. Um solche Designschwächen in Software zu finden, hilft in der Regel weder ein automatisiertes Tool noch ein Penetrationstest. Threat Modeling ist ein effektives Werkzeug, um diese Art von Sicherheitsproblemen systematisch und effektiv aufzudecken. Für weitere Details siehe detailierte Kursbeschreibung. Tag 3-5: Web Application Hacking Der Kurs vermittelt die typischen und gefährlichsten Sicherheitsschwachstellen in modernen Webapplikationen, unter anderem die laut der OWASP-Organisation gefährlichsten und am häufigsten zu findenden Sicherheitsschwachstellen. Der Kursinhalt ist dabei unabhängig von einer bestimmten Programmiersprache, da sich die Angriffsszenarien für alle modernen Webapplikationen (Java, .NET, PHP, Python, Perl, etc.) ähneln. Sicherheitsschwachstellen, die nur in systemnahen Code (C/C++) zu finden sind, wie zum Beispiel Buffer Overflows, Integer Overflows oder Format String Vulnerabilities werden in diesem Kurs nicht behandelt. Codebeispiele im Kurs sind in PHP, JAVA oder Pseudocode gehalten. Für weitere Details siehe detailierte Kursbeschreibung. Ziel dieses Trainings ist es, Entwicklungsteams zu zeigen wie man das Thema Softwaresicherheit ganzheitlich und steuerbar angeht. Threat Modeling als effektives Werkzeug Softwaresicherheit aus verschiedenen Perspektiven beleuchten Berücksichtigung von Design, Entwicklung, Testen und Betrieb aus einer Security Perspektive Vermeidung der häufigsten und gefährlichsten Programmierfehler Einblicke in den Ablauf typischer Angriffe Verstehen wie Angriffe dank ausgereifter Hacking-Tools realisiert werden Tatsächlichen Auswirkungen von Sicherheitslücken Dieser Kurs richtet sich an alle Personen, die in den Softwareentwicklungsprozesses involviert sind. SoftwareentwicklerInnen IT-Projektverantwortliche SoftwaretesterInnen Scrum Masters Software-ArchitektInnen IT-Projektverantwortliche SoftwaretesterInnen Scrum Masters Incident Response Team Members Software-ArchitektInnen DevOps Developers Software Security Engineers SoftwareentwicklerInnen Eine Teilnahmebestätigung für den Kurs wird ausgestellt. Öffentlicher Termin: Die Kosten für den 5-tägigen Kurs belaufen sich auf 3.950,00 € (exkl. UST) pro Person. In der Kursgebühr sind die Kursmaterialien sowie die volle Verpflegung enthalten. Inhouse Schulung: Die Kosten werden je nach konkretem Bedarf des Unternehmens individuell in Form eines Pauschalbetrags festgelegt. Ulrich Bayer is team lead of the Software Security Group at SBA Research. Consulting Area Ulrich’s activities lie mainly in penetration testing, secure software development, secure development lifecycle, and security training in these areas. Michael Koppmann is senior information security consultant at SBA Research. Consulting Area Michael is a seasoned expert in the technical aspects of information security, with a particular emphasis on conducting thorough penetration tests across diverse computing environments. His expertise encompasses: – Web Application Security – Mobile Application Security – Infrastructure Security – Spear Phishing Attack Simulations – Source Code Security Audits – Architecture Security Evaluations – Software Assurance Maturity Model (SAMM) Evaluations In addition to his hands-on consulting work, Michael spearheads the development of multiple in-house software tools, ensuring that they meet the highest security standards. Beyond coding, he is also an accomplished trainer and speaker, providing training sessions and lectures on secure application development, APIs, and microservices. Michael is also one of the co-founders of sec4dev, SBA Research’s premier security conference and training event tailored for developers. Mathias Tausig is information security consultant at SBA Research. Consulting Area Mathias’ consulting activities are focusing on web application penetration testing, threat modeling and teaching activities, mainly in the areas of Cloud- and Linux-Security. He is a regular speaker at security- and Open Source focused conferences (e.g. sec4dev, Linuxwochen, RIOT-OS Summit, CCC Easterhegg, Heise DevSec).