Přeskočit na hlavní obsah
Logo bezpečný kód - šedo-černý štít se znakem kódu </>

Bezpečný kód

Logo bezpečný kód - šedo-černý štít se znakem kódu </>

Váš kybersecurity průvodce. Bezpečnost jasně, stručně a přehledně.

🛡️ Chci psát bezpečný kód 🛡️
🕵️ Chci API audit 🕵️

Jaké zranitelnosti na nás číhají?

Aplikace jsou plné zranitelností. Tady chybí autorizace a jinde jsou zastaralé komponenty. Podívejte se, co dalšího může způsobit problém.

Jak zranitelnostem předcházet?

Každé bezpečnostní riziko může být zmírněno. Že nevíte, jak na to? Podívejte se na naše cheat sheety, kde najdete návod krok za krokem.

Učte se IT bezpečnost s námi!

Zajímáte se o bezpečnost vašich aplikací? Chcete zdarma dostávat know how, aktuality a praktické tipy? Přihlaste se k našemu newsletteru.

Bezpečnost není jen o správcích hesel, VPNkách nebo firewallech.

Je také o psaní bezpečného kódu a dodržování best practices v oblasti vývoje software.

Provedeme vás nejčastějšími zranitelnostmi aplikací a pomůžeme vám psát bezpečný kód pomocí cheat sheetů připravených k okamžitému použití v praxi.

Pár příkladů najdete už tady:

Nejčastější API a aplikační zranitelnosti

  • V přednášce se dozvíte:
    • 10 nejčastějších API zranitelností.
    • Reálné příklady chyb z praxe.
    • Jak zranitelnostem předcházet.
    • Jaký mají dopad na byznys.
    • Audit kvality a bezpečnosti API.
  • Více najdete na samostatné stránce

Zabezpečení AI a ochrana soukromí

  • Útoky na AI model: data poisoning, manipulace se vstupem, membership inference a další
  • Zapojte všechny subjekty (vývojáři, data analytici) a aplikace související s AI do bezpečnostních programů
  • Kombinujte osvědčené postupy datových a softwarových inženýrů, protože softwaroví inženýři se potřebují naučit více o datové vědě a datoví inženýři více o vytváření kódu a jeho údržbě
  • Ujistěte se, že si všichni zúčastnění uvědomují bezpečnostní rizika umělé inteligence
  • Aplikujte na své aktivity v oblasti AI správné postupy softwarového inženýrství
  • Omezte přístup k datům a povolte ho pouze inženýrům, kteří data skutečně potřebují
  • Chraňte datový tok a dělejte datové audity
  • Neshromažďujte a nepoužívejte data získaná za jedním účelem jako trénovací sadu pro model, který je určený k jiným účelům
  • Zdokumentujte zákonný účel před shromažďováním údajů a sdělte ho uživateli
  • Více najdete v cheat sheetu
Emoji robot symbolizující AI
Emoji trychtýř symbolizující validaci vstupu

Autorizace

  • = proces ověření, kde je požadovaná činnost nebo služba schválena pro daný subjekt
  • Stanovte, jaké typy uživatelů budou aplikaci používat a jaké operace mohou provádět
  • Zkontrolujte autorizační logiku nástrojů, které plánujete použít, případně implementujte vlastní logiku
  • Preferujte autorizaci na základě atributů a vztahů mezi subjekty a objekty namísto uživatelských rolí
  • Nepovolujte přístup k dané funkcionalitě ve výchozím nastavení
  • Ověřujte oprávnění pro každý požadavek
  • Přidělujte uživatelům pouze minimální oprávnění nezbytné pro dokončení jejich práce
  • Implementujte vhodné logování
  • Napište automatické testy, které ověří správnost implementace uživatelských oprávnění
  • Více najdete v cheat sheetu

Partneři

OWASP logo
Logo partnera CyberSecurityPlatform
Logo partnera Nauč mě IT