Das CAS Secure Software Design & Development befähigt Teilnehmende, Software von Beginn an sicher zu entwickeln, zu betreiben und langfristig zu pflegen. Angesichts neuer gesetzlicher Vorgaben, die auch Software unter die Produkthaftung stellen, wird diese Kompetenz zunehmend zentral. Der Lehrgang vermittelt praxisnahe Methoden im Rahmen des «Secure Software Development Lifecycle» sowie wiederverwendbare Konzepte und Best Practices. Der Fokus liegt auf Webapplikationen, die Inhalte sind jedoch plattformübergreifend anwendbar.
Zielpublikum:Das CAS Secure Software Design & Development richtet sich an Fachleute mit einem Software-Engineering-Hintergrund, die
- sich umfassend mit dem Thema Software-Security auseinandersetzen möchten, um fundiertes Wissen und praktische Fähigkeiten in diesem Bereich zu erwerben.
- Softwareprojekte leiten, darin entwickeln und/oder für die Architektur mitverantwortlich sind, und ihre Expertise im Bereich der sicheren Softwareentwicklung vertiefen möchten.
- auch unter zukünftigen sowie bereits bestehenden Produkthaftungsregelungen wettbewerbsfähig bleiben möchten, indem sie sichere und konforme Softwarelösungen entwickeln.
Ziele:Die Teilnehmenden erwerben sowohl fundierte theoretische Grundlagen als auch praxisorientierte Fähigkeiten in den folgenden Bereichen:
- Erkennen, Verstehen und Vermeiden von Schwachstellen, Defekten und Designfehlern: Mit Fokus auf gängige Sicherheitsrisiken wie den OWASP Top 10.
- Aufbau einer Security-Testing-Strategie: Etablierung eines sinnvollen Feedback-Loops zur fortlaufenden Evaluierung der Sicherheit eines Softwareprojekts bei der Entwicklung und im Betrieb.
- API- und Backend-Sicherheit: Implementierung und Absicherung von Anwendungen mithilfe verschiedener Frameworks und Programmiersprachen (z. B. Spring-Boot, Flask).
- Komplexitätsmanagement in der Softwareentwicklung: Sicherer Umgang mit der zunehmenden Komplexität von Software, ihren Komponenten und der gesamten Lieferkette.
- Threat Modeling: Systematische Identifikation und Priorisierung von Bedrohungen sowie Entwicklung geeigneter Gegenmassnahmen.
- Sichere Softwarearchitektur: Der Aufbau einer robusten Softwarearchitektur für den Betrieb mit einem Fokus auf Defense in Depth Prinzipien
- Authentication und Authorization: Planung und Implementierung sicherer Authentifizierungs- und Autorisierungsmechanismen.
Inhalt:
Modul "Grundlagen für die Entwicklung und den Betrieb sicherer Software"
- Einführung in den SDLC und DevSecOps
- Überblick über gängige Schwachstellen (z.B. OWASP Top 10) und ihre Auswirkungen auf Anwendungen
- Sichere Designprinzipien: Least Privilege, Defense in Depth, Fail-Safe Defaults
- Einführung in Bedrohungsmodellierungstechniken wie STRIDE
- Analyse von Praxisbeispielen zur Anwendung von Sicherheitsprinzipien
Modul "Schwachstellen verhindern, erkennen und beheben"
- Grundlagen sicherer Software- Entwicklung
- Einführung in statische Anwendungssicherheitstests (SAST)
- Einführung in dynamische Anwendungssicherheitstests (DAST)
- Einführung in Penetrationstesttechniken
- Aufbau einer Security Testing Strategie
Modul "Implementierung eines sicheren Entwicklungs- und Betriebsprozesses für Software"
- Integration von Sicherheitsprüfungen im DevSecOps Prozess
- Best Practices für API-Sicherheit: Authentifizierung, Autorisierung und Schutz vor Bedrohungen
- Aufbau einer Logdaten Infrastruktur
- Sicherheitsstandards und regulatorische Anforderungen (insb. der neuen Richtline zur Produkthaftung)
- Abschlussprojekt mit sicherem Design, Implementierung, Tests und Betrieb
