面向开发人员的应用程序安全培训

Question

我正试图在一个组织内建立一个应用程序安全组，虽然有大量的课程供深入测试人员使用，但我找不到为开发人员/ QA测试人员提供同等数量的培训课程。

与我一起工作的团队在核心功能(开发、测试、测试自动化)方面非常有能力，但对应用程序安全性的了解非常有限-- OWASP前10名的基本知识。

我在互联网上寻找帮助他们建立知识的课程，到目前为止，我已经发现了来自SANS的2-3个课程，以及一个来自方面安全的培训包。我还没有试过这些，因为我想在我们做出承诺之前得到一些意见。

理想的课程(S)应包括：

• 介绍，理想的基础是OWASP前10名
• 防御技术，理想的表现为框架(例如OWASP ESAPI)
• 安全测试，面向喜欢自动化和手动渗透测试的QA测试人员
• WAFs的应用(用于虚拟修补)

你知道有什么课程包可以为我提供这个内容吗?还是我应该从不同的供应商那里寻找个别的课程？如果是的话，你能向我提供你所使用和你满意的培训提供者的名字吗？

Answer 1

我知道有几个免费的资源可以很好地介绍这类事情。安全创新有一个免费的OWASP前10名CBT，安全指南针有类似的这里和真波

除了这些基本的选择之外，这些公司中至少有两家将有更多的可供选择，但这些公司可能是一个好的、免费的、起点。

Answer 2

我建议查看Microsoft的安全开发生命周期(SDL)。他们拥有大量的资源。

还可以看看BSIMM和OpenSAMM。

一些相关问题和资料：

• 安全软件开发
• 通过设计阅读有关安全性的文章？
• 网络应用安全投资回报如何、从何处开始？
• 什么是最简单(或最轻)的安全开发生命周期？
• 我正在寻找已经测试过的Scrum的安全开发生命周期的反馈？

Answer 3

看看安全安全。他们专注于应用程序安全培训，为开发人员提供了完整的课程。全面披露-我为安全公司工作！如果您想获取信息，可以直接向Larry lgorkun@safelightsecurity.com请求。