Beschreibung
Sehr geehrte Damen und Herren,für unseren Kunden suchen wir einen Trainer Java Security (m/w)
Inhalte: Zusätzlich zum Table of Content (Dokument des Kunden erhakten Sie beim Angebot)
- Security Application/Development Lifecycle (vergleichsweise kurz, vielleicht als Punkt 1.8 im ToC)
- Sie untergliedern in SQL injections (3.4) und "Other types of injections" (3.5). Hier sollte auf jeden Fall intensiv auf XXS und CSFR eingangen werden. Andere injection Angriffe auf LDAP, OS etc. sollten auch zumindest andiskutiert werden.
- Ein für uns wichtiger Punkt wäre auch der sichere Umgang mit Logs. Was sollte/darf/muss ich wie loggen und wie gehe ich mit evtl. "Log injections" um?
- Für Kapitel 4 (oder als zusätzliches Kapitel) würden wir gerne als zusätzlichen Punkt das Thema "Session Management/Hijacking" sehen
- Eine grundlegende Präsentation von Secure Design Patterns für Java wäre hervorragend
- Da wir neben Java hauptsächlich in Javascript und JSP entwickeln, würden wir es begrüßen den Scope um diese beiden Techniken zu erweitern
- Unter Tools würde uns u.a. noch interessieren wie man sicherheitsrelevanten Code am besten reviewen würde
- Evtl. könnte man noch auf OWASP eingehen
Methodik: Generell würden wir es begrüßen, wenn die gängigen Angriffsszenarien nicht nur in der Theorie, sondern soweit möglich auch an Beispielen/Hands-on-Sessions demonstriert/von den Teilnehmern selbst durchgeführt/gefixt werden könnten.
Weitere Informationen:
• Zielstellung des Trainings/was sollen die Teilnehmer nach dem Training können bzw. anders machen als vorher
»
(1) Die Schulung soll die Awareness der Entwickler (aber auch anderer an dem SE-Prozess beteiligter Personen, wie Build-Manager, Architekten etc.) für sicherheitsrelevante Aspekte erhöhen.
(2) Die Teilnehmer sollten die wichtigsten Angriffsszenarien verstanden haben und deren Impact/Häufigkeiten kennen
(3) Die Teilnehmer sollten nach dem Kurs in der Lage sein sicherheitskritischen Code selbst zu identifizieren und geeignete Lösungen zu finden
• Kenntnisstand Teilnehmer
»
Die meisten Teilnehmer hatten bereits 2011 eine Sicherheitsschulung für Java
• Aufgabengebiete der Teilnehmer
»
Die meisten Teilnehmer entwickeln in Java und/oder Javascript. Desweiteren werden auch vereinzelt Personen aus dem Buildmanagement und evtl. der Steuerung teilnehmen (Programmierkenntnisse sind vorhanden); diese Personen stehen jedoch nich im Fokus der Schulung.
• Erwartungshaltung an den Trainer
»
Fundierte Sicherheitskenntnisse im Bereich Webentwicklung, vorrangig in Java, aber auch in Javascript. Möglichst interaktive Gestaltung des Kurses mit Hands-on-Sessions, fundierte Vermittlung der Grundlagen vorausgesetzt.
• Abteilungsspezifische Inhalte (wenn abweichende Interesse aus verschiedenen Abteilungen bestehen)
»
Keine.
Durchführungen: 3x3 Tage 9 Tage insgesamt
Teilnehmer: jeweils 10 pro Durchführung
Wunschtermin: KW 19/20
Ort: Beim Kunden (Saarland)
Können Sie uns hierbei unterstützen bzw. eine Empfehlung aussprechen? Ich freue mich über eine Nachricht ihrerseits. Vielen Dank.
Mit freundlichen Grüßen
Sascha Riethmüller
Geschäftsführender Gesellschafter
Projekt Broker Consultant Services GmbH
Goethestraße 21, 60313 Frankfurt am Main
T: | F: | M:
| http://www.projekt-broker.com
Amtsgericht Frankfurt am Main HRB 93917, Steuernummer:
Geschäftsführende Gesellschafter: Sascha Riethmüller, Christian Weindl