Přeskočit na hlavní obsah

Ještě Bezpečný kód neznáte?

Cílem projektu Bezpečný kód je

  • pomoct vývojářům a firmám zajistit vyšší bezpečnost vytvářeného software a
  • zvýšit povědomí o problematice aplikační bezpečnosti.

Bezpečný kód těchto cílů dosahuje prostřednictvím

  • tvorby online výukový materiálů jako jsou cheat sheety, checklisty, newsletter, nebo YouTube videa,
  • produkce online kurzů pro vývojáře i management firem publikovaných na platformách Bezpečný kód a Skillmea,
  • školením zaměstnanců a jednotlivců v oblasti aplikační bezpečnosti a psaní bezpečného kódu.

Projekt vznikl z několika důvodů:

  • v Česku se této problematice nikdo aktivně nevěnuje,
  • na trhu je spousta pentesterů, kteří se věnují bezpečnosti aplikací, ale s jejich vývojem nemají dostatečnou zkušenost a nedokážou správně poradit s psaním bezpečného kódu a nastavením firemních procesů,
  • OWASP a jiné materiály týkající se aplikační bezpečnosti jsou příliš složité a nejednotné.

Kam projekt směřuje

Ultimátním cílem projektu je vytvořit platformu, díky které budou moct firmy a vývojáři vytvářet bezpečný software od A do Z. Od nastavení interních procesů ve firmě nebo v týmu, přes porozumění zranitelnostem, až po kontinuální rozvoj znalostí a dovedností v této oblasti.

Stabilizace webu

Na webu Bezpečný kód je velké množství výukových materiálů, ale relativně špatně se hledají. Chceme web rozdělit do několika sekcí - "Pro vývojáře", "Pro manažery" a "Pro firmy", kde si každý najde to své.

Cílem je přidat vyhledávač, který zlepší orientaci na webu a zjednodušit přístupnost do různých částí webu. Aktivně komunikujeme s vývojáři a ptáme se jich, jak web lépe strukturovat, aby jim pomohl najít informace co nejefektivněji. Tuto zpětnou vazbu následně přetavíme do praxe.

Zabezpečení životního cyklu vývoje software (S-SDLC)

Bezpečnost aplikací nezávisí jen na bezpečně napsaném kódu. Je to hlavně o týmových a firemních procesech jako je sběr požadavků, analýza, návrh software, nebo jeho údržba.

Dalším milníkem projektu je vysvětlit samotný pojem SDLC a popsat, jakým způsobem je možné do každé jednotlivé fáze tohoto cyklu začlenit prvek bezpečnosti.

Online a offline kurzy pro vývojáře a vývojové týmy

Dlouhodobým projektem je tvorba kvalitních online i offline kurzů aplikační bezpečnosti nejen pro vývojáře, ale celý vývojový tým od byznys ownera, přes projekťáka až po testera a vrcholový management.

Momentálně na YouTube vznikají online přednášky a prezentace, nebo projekt #haxing, které jsou předchůzcem těchto kurzů.

Kdo za projektem stojí

Projekt založil Štefan Prokop, bývalý backend vývojář a CTO se specializací na aplikační bezpečnost a člen OWASP Foundation.

"Projekt jsem založil hlavně proto, že jsem jako vývojář za svou více jak 10 letou praxi viděl, jak to s bezpečností software opravdu je (není). Jako vývojáře nás nikdo neučil psát bezpečný kód a v rámci denno denní práce nemáme čas se této problematice věnovat. Potřeboval jsem jednochý návod, jak bezpečně naprogramovat jednotlivé aplikační funkce - a tak vznikla první verze Bezpečného kódu."

"V minulosti jsem navštívil spoustu hacking školení, ale ani na těch mi nikdo neřekl, jak nalezené zranitelnosti efektivně odstranit a poučit se z nich. Není divu - pentester není vývojář ani nemá znalost byznysu, takže těmto věcem nerozumí. Vzal jsem to tedy do vlastních rukou..."

Poslechněte si rozhovor se Štefanem:

Partneři projektu

OWASP logo
Logo partnera CyberSecurityPlatform
Logo partnera Nauč mě IT

Web Bezpečný kód provozuje Štefan Prokop. Fyzická osoba zapsaná v Živnostenském rejstříku od 20. 9. 2017, evidována Magistrátem města Karlovy Vary, č.j. ŽÚ/U3904/2018/Ku