HackEDU: training on demand per lo sviluppo di codice sicuro

 

HackEDU offre training interattivo online e on-demand per lo sviluppo sicuro, basato sul coinvolgimento attivo degli sviluppatori con lo scopo di ridurre il rischio di vulnerabilità nel codice.

Con il training interattivo di HackEDU, gli sviluppatori migliorano la loro capacità di scrivere software sicuro aumentando al contempo la comprensione delle modalità in cui i software vengono violati.

La formazione con HackEDU è diversa in quanto si concentra sulla sicurezza offensiva che è più interessante e coinvolgente della sola formazione difensiva poiché stimola l’interesse dello sviluppatore sulla risoluzione dei problemi.

Linguaggi e framework

Python
Ruby
PHP
Laravel
C#
.NET
Go
Node.JS
Angular
React
Java
C++

Più di 115 argomenti di programmazione sicura

Questo corso copre molto più delle 10 principali vulnerabilità web di OWASP . Su richiesta, è possibile aggiungere ulteriori vulnerabilità.

SQL Injection NoSQL Injection Command Injection Remote Code Execution
XSS Autenticazione e gestione delle sessioni difettose Authentication Rate Limits Gestione debole delle sessioni
Gestione e conservazione delle password Cross-Site Request Forgery Clickjacking Controllo accessi difettoso
Condifugarzioni errate di sicurezza Esposizione di dati sensibili Best practice di crittografia Utilizzo di componenti con vulnerabilità note
XML External Entities Buffer Overflow Heap Overflow

 

Scarica il whitepaper sulla formazione allo sviluppo di codice sicuro

Caratteristiche

Formazione pratica e interattiva

Gli sviluppatori sono risolutori di problemi e apprendono in modo più efficace attraverso scenari pratici del mondo reale. Le lezioni video e PowerPoint non sono sufficienti.

Approccio offensivo e difensivo

Questo approccio si è dimostrato più efficace e più coinvolgente del solo allenamento difensivo.

Risparmio di tempo

Questa formazione ha un ROI di 4,4 volte sul risparmio di tempo per gli sviluppatori che possono seguire queste lezioni  secondo i propri impegni e ritmi di lavoro.

Responsabilità nella correzioni del codice

Gli sviluppatori devono correggere correttamente il codice vulnerabile per poter superare le lezioni. Perchè gli sviluppatori imparino in modo efficace, devono programmare.

Gamification

Gli sviluppatori possono competere, sfidare e guadagnare punti in stile Capture the flag. Questo li impegna ulteriormente  ad apprendere pratiche di codifica sicura.

Certificazioni

Gli sviluppatori ottengono la certificazione HackEDU per il completamento e il superamento di tutte le parti del corso.

Compliance

HackEDU permette di soddisfare i requisiti di sicurezza previsti in PCI-DSS, NIST 800-53, SOC e GDPR.

 

Lezioni avanzate

Queste lezioni si basano sulle vulnerabilità trovate in applicazioni reali dal programma bug bounty di HackerOne.

Clickjacking Blind XXE Esecuzione di codice remoto SQL Injection con SQLMap XSS utilizzando PostMessage

Vulnerabilità pubbliche incluse

HackEDU dispone di sandbox con vulnerabilità pubbliche per apprendere tecniche di sicurezza offensive e difensive nel mondo reale in un ambiente sicuro.

Drupalgeddon2
Struts
Zip slip
Questa sandbox replica una vulnerabilità pubblica RCE (Remote Code Execution) in Drupal (CVE-2018-7600). Questa sandbox replica una vulnerabilità pubblica RCE (Remote Code Execution) in Apache Struts 2 (CVE-2018-11776). Questa sandbox replica le vulnerabilità pubbliche con il software di archiviazione / compressionee.

Integrazione con SAST / DAST e Bug Bounty

SAST, DAST e IAST sono ottimi strumenti che possono completarsi a vicenda. Idealmente, sarebbe meglio utilizzare una combinazione di strumenti per garantire una migliore copertura e ridurre il rischio di vulnerabilità nelle applicazioni di produzione. L’SDLC si è notevolmente accelerato negli ultimi anni ei metodi di test tradizionali non riescono a tenere il passo con il ritmo dello sviluppo web. L’utilizzo di strumenti di test automatizzati nelle prime fasi può migliorare significativamente la sicurezza con un costo minimo.

Tuttavia, tieni presente che questi strumenti non intendono sostituire tutte le altre pratiche di codifica sicura, ma piuttosto fanno parte di un più ampio sforzo di sicurezza dell’applicazione.

HackEDU si integra con i più popolari strumenti SAST e DAST, piattaforme bug bounty, strumenti SCA, repository di codice e tracker di problemi. Un piano di formazione adattivo viene creato automaticamente con le lezioni pratiche di HackEDU per ogni sviluppatore di software basate sulle vulnerabilità trovate nelle tue applicazioni e sulle prestazioni del singolo sviluppatore.

Dashboard di gestione

La dashboard di amministrazione di HackEDU semplifica la gestione e il monitoraggio della formazione della tua organizzazione.

Caratteristiche della dashboard

  • Monitoraggio dei progressi del team
  • Creazione di piani di training personalizzati
  • Impostazione di Single Sign-on
  • Pianificazione della formazione dei team in base alle proprie esigenze
  • Generazione di certificati di superamento del corso

 

Sfide di coding e hacking

Le sfide di scrittura codice sono laboratori in cui gli sviluppatori di software si esercitano a trovare e correggere le vulnerabilità nel software. Gli sviluppatori devono trovare la vulnerabilità e quindi codificare in modo sicuro per superare la sfida. Queste sfide completano le lezioni di HackEDU e possono essere assegnate prima o dopo le lezioni per garantire che i concetti di formazione siano stati consolidati.

Le sfide di codifica di HackEDU possono anche essere utilizzate come valutazioni per analizzare le competenze di codifica sicura.

 

Vantaggi di HackEDU

  • Prevenzione delle vulnerabilità nel Software di produzione
    • Promuove l’adesione agli standard di programmazione sicura
    • Migliora la capacità degli sviluppatori di trovare e correggere le vulnerabilità nel codice
    • Migliorare la tua postura di sicurezza
  • Riduzione dei costi operativi
    • Riduce gli errori di codifica
    • Fornisce agli sviluppatori la conoscenza di cui hanno bisogno per essere in grado di bloccare le vulnerabilità nella fase iniziale del loro SDLC
    • Riduce i tempi di rilascio del codice in produzione
  • La formazione di persona è spessp una perdita di tempo ed è inefficace (oggi è quasi impossibile a causa del COVID)
    • Consente agli sviluppatori di esercitarsi e testare le proprie capacità in un ambiente reale
    • Permette di creare piani di formazione personalizzati basati sui punti deboli identificati
    • Trasmette agli sviluppatori la responsabilità sui temi della programmazione sicura

Contattaci per saperne di più!