Curso de Desarrollo Seguro de Sistemas (OWASP)
Acerca de este curso
> Módulo 1: Seguridad en el Ciclo de vida de Desarrollo de Software
Descripción de S-SDLC
OWASP CLASP
Desarrollo confiable
Los siete Touchpoints
S-SDLC – Threat Modeling
Microsoft Threat Modeling
STRIDE
DREAD
BSIMM6 – Seguridad en un Modelo de Madurez
Midiendo la madurez de nuestro S-SDLC
> Módulo 2: Fundamentos de la Programación Segura
Descripción general de los principios de riesgo y seguridad del software
Prácticas de programación segura
Checklist
Validación de entrada
Programación de salida
Autenticación y gestión de contraseñas
Gestión de sesiones
Control de accesos
Prácticas criptográficas
Gestión y registro de errores
Protección de Datos
Seguridad de las comunicaciones
Configuración del sistema
Seguridad de la base de datos
Gestión de archivos
Gestión de la memoria
Prácticas generales de codificación
> Módulo 3: Seguridad en Aplicaciones Web
Control de accesos rotos
Fallos criptográficos
Inyección
Diseño inseguro
Configuración incorrecta de seguridad
Componentes vulnerables y obsoletos
Fallos de identificación y autenticación
Fallas de integridad de software y datos
Registro de seguridad y fallas de monitoreo
Falsificación de solicitud del lado del servidor
> Módulo 4: Seguridad de Base de datos
Definir requisitos de seguridad
Aprovechar frameworks y librerías de seguridad
Acceso seguro a la base de datos
Programar y Escape Data
Validar todas las entradas
Implementar Identidad Digital
Hacer cumplir los controles de acceso
Proteger los datos en todas partes
Implementar registro y monitoreo de seguridad
Manejar todos los errores y excepciones
> Módulo 5: Desarrollo seguro de Aplicaciones Móviles
Uso inadecuado de la plataforma
Almacenamiento de datos inseguro
Comunicación Insegura
Autenticación insegura
Criptografía insuficiente
Autorización insegura
Calidad del código del cliente
Manipulación de código
Ingeniería inversa
Funcionalidad extraña
> Módulo 6: Desarrollo Seguro de APIs
Ruptura en Autorización de nivel de objeto
Autenticación de usuario rota
Exposición excesiva de datos
Falta de recursos y limitación de rates
Ruptura en Autorización de nivel de función
Error de configuración de seguridad de asignación masiva
Inyección
Gestión inadecuada de Assets
Registro y monitoreo insuficientes
> Módulo 7: DevSecOps – Desarrollo, Seguridad y Operaciones
Modelado de amenazas
Pre commit
Gestión de secretos
Linting Code
Escaneo de vulnerabilidades
Pruebas de seguridad de aplicaciones estáticas
Pruebas de seguridad de aplicaciones dinámicas
Pruebas de seguridad de aplicaciones interactivas
Análisis de composición de software
Escaneo de vulnerabilidad de infraestructura
Análisis de vulnerabilidad de contenedores
Privacidad
Auditoría de Cumplimiento