Catalogue | Kaïna-com Academy

Prérequis

Expérience et compréhension du développement d'applications Un niveau d'anglais business moyen est requis car la formation sera dispensée en anglais.

Public

Les développeurs d'applications et tous ceux qui cherchent à mieux comprendre comment créer des applications sécurisées.

Objectifs

Bien que la sécurité des applications soit un sujet relativement ancien, la majeure partie de l'attention dans les années 90 était concentrée sur la sécurisation des infrastructures réseaux (par exemple les pares-feux, les VPN, etc.), ainsi que le système d'exploitation des serveurs (par exemple les systèmes de gestion des correctifs). Cependant, au cours des dernières années, l'accent a été déplacé du réseau et de l'infrastructure vers la couche application. Cela est dû au fait que la sécurité des infrastructures (c'est-à-dire le réseau et le système d'exploitation) s'est considérablement améliorée tandis que les applications sont restées vulnérables. Ainsi, la couche application est devenue la principale cible des attaques. De plus, il est bien entendu aujourd'hui que des applications sécurisées signifient des applications de haute qualité et plus sûres.
Dans cette formation, nous apprendrons les différents aspects de la sécurité des applications, y compris l'authentification, l'autorisation, l'audit, la confidentialité et l'intégrité des données, ainsi que les différentes technologies répondant à ces exigences. Nous étudierons le modèle d'analyse des risques et comprendrons comment l'utiliser pour analyser le risque de menace associé aux vulnérabilités de l'application.
De plus, nous apprendrons à créer des applications sécurisées, en commençant par inclure la sécurité dans le cycle de vie du développement d'applications, en continuant dans les pratiques de codage sécurisé et les outils de test de sécurité.

Confidentiality and Data-Integrity

· Overview of the requirements

· Overview of Cryptology

· Symmetric encryption

· Asymmetric encryption

· Digital signatures

· Digital certificates

· How encryption and hash function are used to address these requirements

· XML-Encryption (for web services)

· XML-Digital signatures (for web services)

Authentication

· Overview of the requirements

· The different technologies used for user authentication

· Passwords including Password Management

· Challenge-Response authentication and Challenge-Response tokens

· One-Time Passwords (OTP) and OTP tokens

· Smart-cards and Public-Key technology

· Biometric authentications

· SAML (for web services)

Authorization and Access-Control

· Overview of the requirements

· Implementation of authorization mechanisms in the application layer

· Discretionary Access Control (DAC)

· Mandatory Access Control (MAC)

· Role Based Access Control (RBAC)

Auditing & Logging

· Overview of the requirements

· Central logging

· Auditing and log analysis

Integrating security into the application development life cycle

· Security in the design stage

· Secure coding

· Security testing

Risk analysis and Threat Modeling

· Risk analysis and Threat Modeling

Application coding vulnerabilities

· Application coding vulnerabilities

Secure coding best practices

· In Java (J2EE)

· In .NET

Security features of application frameworks

· J2EE

· .NET

The End

· Summary

· Q&A

· Evaluation

David Movshovitz

Lecturer at LOGTEL

A propos

Dr. David Movshovitz is a senior lecturer at LOGTEL. David brings with him 30 years of experience in information security with a broad view of the range of topics necessary to build a comprehensive and efficient data protection system for product / system it must protect. He is software engineering and information security expert, and is teaching academic courses on Web-Application-Security and on Developing Secure Applications in Inter Disciplinary Center (IDC) in Herzalia and in Michlelet Tel-Aviv. Dr. Movshovitz headed a R&D team in the IDF that has earned the Israeli Defense Award for professional excellence. After his departure from the military, Dr. Movshovitz has served in senior R&D positions in the Hi-Tech industry (e.g. Elscint, Taldor Group, F5 Networks). Dr. Movshovitz was a co-founder and VP R&D at Algotec Systems Ltd. that was acquired by Kodak, a CTO and VP R&D of Magnifire Ltd. that was acquired by F5 Networks, and a CTO of Navajo Systems Ltd. that has been acquired by Salesforce.com. Dr. Movshovitz earned his doctorate in Physics from Bar-Ilan University.

Développer des applications sécurisées

Prérequis

Public

Objectifs

Des questions ?

Êtes-vous un particulier ?