24 giờ.

Chứng chỉ Certified Application Security Engineer (CASE) được phát triển với sự hợp tác của các chuyên gia phát triển ứng dụng và phần mềm trên toàn cầu.

Chứng chỉ CASE kiểm tra các kỹ năng và kiến thức bảo mật quan trọng cần thiết trong suốt vòng đời phát triển phần mềm (SDLC) điển hình, tập trung vào tầm quan trọng của việc triển khai các phương pháp và thực hành bảo mật trong môi trường vận hành không an toàn hiện nay.

Chương trình đào tạo chứng nhận CASE được phát triển nhằm trang bị cho các chuyên gia phần mềm những năng lực mà nhà tuyển dụng và giới học thuật toàn cầu mong đợi. Nó được thiết kế là một khóa đào tạo bảo mật ứng dụng toàn diện, thực hành để dạy các chuyên gia phần mềm cách tạo ra các ứng dụng an toàn.

Chương trình đào tạo bao gồm các hoạt động bảo mật liên quan đến tất cả các giai đoạn của SDLC an toàn: lập kế hoạch, tạo, kiểm thử và triển khai ứng dụng.

Không giống như các khóa đào tạo bảo mật ứng dụng khác, CASE không chỉ dừng lại ở các hướng dẫn về thực hành mã hóa an toàn mà còn bao gồm việc thu thập yêu cầu bảo mật, thiết kế ứng dụng mạnh mẽ và xử lý các vấn đề bảo mật trong các giai đoạn sau phát triển ứng dụng.

Điều này làm cho CASE trở thành một trong những chứng nhận bảo mật ứng dụng toàn diện nhất cho việc phát triển phần mềm an toàn trên thị trường hiện nay. Nó được mong muốn bởi các kỹ sư, chuyên gia phân tích và kiểm thử ứng dụng phần mềm từ khắp nơi trên thế giới và được các nhà tuyển dụng đánh giá cao.

Sau khi hoàn thành khóa học này, học viên sẽ có khả năng:

• Hiểu biết chuyên sâu về SDLC an toàn và các mô hình SDLC an toàn.
• Kiến thức về OWASP Top 10, mô hình hóa mối đe dọa, SAST và DAST.
• Nắm bắt các yêu cầu bảo mật của một ứng dụng đang phát triển.
• Xác định, duy trì và thực thi các thực hành tốt nhất về bảo mật ứng dụng.
• Thực hiện đánh giá mã thủ công và tự động của ứng dụng.
• Tiến hành kiểm thử bảo mật ứng dụng cho các ứng dụng web để đánh giá các lỗ hổng.
• Thúc đẩy phát triển một chương trình bảo mật ứng dụng toàn diện.
• Đánh giá mức độ nghiêm trọng của các lỗi và công bố các báo cáo toàn diện, trình bày chi tiết các rủi ro và biện pháp giảm thiểu liên quan.
• Làm việc theo nhóm để cải thiện tình hình bảo mật.
• Các công nghệ quét bảo mật ứng dụng như AppScan, Fortify, WebInspect, kiểm thử bảo mật ứng dụng tĩnh (SAST), kiểm thử bảo mật ứng dụng động (DAST), đăng nhập một lần (SSO) và mã hóa.
• Tuân thủ các tiêu chuẩn mã hóa an toàn dựa trên các thực hành tốt nhất được chấp nhận trong ngành như:
  • Hướng dẫn OWASP, hoặc CERT Secure Coding để giải quyết các lỗ hổng mã hóa phổ biến.
• Tạo một quy trình đánh giá mã nguồn phần mềm là một phần của các chu kỳ phát triển (SDLC, Agile, CI/CD).

• Các nhà phát triển .NET có tối thiểu 2 năm kinh nghiệm và những cá nhân muốn trở thành kỹ sư, chuyên gia phân tích hoặc kiểm thử bảo mật ứng dụng.
• Các cá nhân tham gia vào vai trò phát triển, kiểm thử, quản lý hoặc bảo vệ ứng dụng.

Không yêu cầu điều kiện tiên quyết. Khóa học phù hợp với mọi đối tượng có nhu cầu.

Sau khi hoàn tất khóa học, học viên sẽ được cấp chứng nhận hoàn tất khóa học theo quy định của Cecomtech.

1. Hiểu về Bảo mật Ứng dụng, Mối đe dọa và Tấn công

Sau khi hoàn thành module này, học viên sẽ có khả năng:

• Hiểu nhu cầu và lợi ích của bảo mật ứng dụng.
• Trình bày sự hiểu biết về các cuộc tấn công cấp ứng dụng phổ biến.
• Giải thích nguyên nhân của các lỗ hổng cấp ứng dụng.
• Giải thích các thành phần khác nhau của bảo mật ứng dụng toàn diện.
• Giải thích nhu cầu và lợi ích của việc tích hợp bảo mật vào Vòng đời Phát triển Phần mềm (SDLC).
• Phân biệt các hoạt động chức năng và bảo mật trong SDLC.
• Giải thích Vòng đời Phát triển Bảo mật của Microsoft (SDL).
• Trình bày sự hiểu biết về các tiêu chuẩn, mô hình và khung tham chiếu bảo mật phần mềm khác nhau.

2. Thu thập Yêu cầu Bảo mật

Sau khi hoàn thành module này, học viên sẽ có khả năng:

• Hiểu tầm quan trọng của việc thu thập các yêu cầu bảo mật.
• Giải thích Kỹ thuật Yêu cầu Bảo mật (SRE) và các giai đoạn của nó.
• Trình bày sự hiểu biết về Các trường hợp Lạm dụng và Mô hình hóa Trường hợp Lạm dụng.
• Trình bày sự hiểu biết về Các trường hợp Bảo mật và Mô hình hóa Trường hợp Bảo mật.
• Trình bày sự hiểu biết về Các câu chuyện về Kẻ lạm dụng và Bảo mật.
• Giải thích mô hình Kỹ thuật Yêu cầu Chất lượng Bảo mật (SQUARE).
• Giải thích Mô hình Đánh giá Rủi ro, Tài sản và Lỗ hổng Quan trọng về Hoạt động (OCTAVE).

3. Thiết kế và Kiến trúc Ứng dụng An toàn

Sau khi hoàn thành module này, học viên sẽ có khả năng:

• Hiểu tầm quan trọng của thiết kế ứng dụng an toàn.
• Giải thích các nguyên tắc thiết kế an toàn khác nhau.
• Trình bày sự hiểu biết về mô hình hóa mối đe dọa.
• Giải thích quy trình mô hình hóa mối đe dọa.
• Giải thích mô hình STRIDE và DREAD.
• Trình bày sự hiểu biết về Thiết kế Kiến trúc Ứng dụng An toàn.

4. Các Thực hành Mã hóa An toàn cho Xác thực Đầu vào

Sau khi hoàn thành module này, học viên sẽ có khả năng:

• Hiểu tầm quan trọng của xác thực đầu vào mạnh mẽ.
• Trình bày sự hiểu biết về các kỹ thuật xác thực đầu vào an toàn trong Web Forms, ASP.NET Core và MVC.
• Trình bày sự hiểu biết về các kỹ thuật mã hóa phòng thủ chống lại các cuộc tấn công SQL Injection.
• Trình bày sự hiểu biết về các kỹ thuật mã hóa phòng thủ chống lại các cuộc tấn công Thao túng Tham số.
• Trình bày sự hiểu biết về các kỹ thuật mã hóa phòng thủ chống lại các cuộc tấn công Thay đổi Thư mục (Directory Traversal).
• Trình bày sự hiểu biết về các kỹ thuật mã hóa phòng thủ chống lại các lỗ hổng Chuyển hướng Mở.

5. Các Thực hành Mã hóa An toàn cho Xác thực và Ủy quyền

Sau khi hoàn thành module này, học viên sẽ có khả năng:

• Hiểu các vấn đề xác thực và ủy quyền.
• Giải thích xác thực và ủy quyền trong Web Forms.
• Giải thích xác thực và ủy quyền trong ASP.NET Core.
• Giải thích xác thực và ủy quyền trong MVC.
• Trình bày sự hiểu biết về các kỹ thuật xác thực và ủy quyền trong Web Forms.
• Trình bày sự hiểu biết về các kỹ thuật xác thực và ủy quyền trong ASP.NET Core.
• Trình bày sự hiểu biết về các kỹ thuật xác thực và ủy quyền trong MVC.

6. Các Thực hành Mã hóa An toàn cho Mật mã học

Sau khi hoàn thành module này, học viên sẽ có khả năng:

• Hiểu mật mã học trong .NET.
• Giải thích mã hóa đối xứng.
• Trình bày sự hiểu biết về các thực hành mã hóa phòng thủ sử dụng mã hóa đối xứng.
• Giải thích mã hóa bất đối xứng.
• Trình bày sự hiểu biết về các thực hành mã hóa phòng thủ sử dụng mã hóa bất đối xứng.
• Giải thích Hashing.
• Giải thích Chữ ký số.
• Giải thích Chứng chỉ số.
• Trình bày sự hiểu biết về các thực hành mật mã an toàn cụ thể của ASP.NET Core.

7. Các Thực hành Mã hóa An toàn cho Quản lý Phiên

Sau khi hoàn thành module này, học viên sẽ có khả năng:

• Hiểu các khái niệm quản lý phiên.
• Giải thích các kỹ thuật quản lý phiên khác nhau.
• Trình bày sự hiểu biết về các thực hành mã hóa phòng thủ chống lại các cuộc tấn công chiếm quyền phiên.
• Trình bày sự hiểu biết về các thực hành mã hóa phòng thủ chống lại các cuộc tấn công phát lại phiên và cố định phiên.
• Trình bày sự hiểu biết về các kỹ thuật ngăn chặn phiên khỏi cross-site scripting, script phía máy khách và tấn công CSRE.
• Trình bày sự hiểu biết về các kỹ thuật quản lý phiên an toàn cụ thể của ASP.NET Core.

8. Các Thực hành Mã hóa An toàn cho Xử lý Lỗi

Sau khi hoàn thành module này, học viên sẽ có khả năng:

• Hiểu các khái niệm xử lý lỗi và ngoại lệ.
• Giải thích nhu cầu về xử lý ngoại lệ an toàn.
• Trình bày sự hiểu biết về các thực hành mã hóa phòng thủ chống lại việc tiết lộ thông tin.
• Trình bày sự hiểu biết về các thực hành mã hóa phòng thủ chống lại việc xử lý lỗi không đúng cách.
• Trình bày sự hiểu biết về các thực hành xử lý lỗi an toàn trong ASP.NET Core.
• Giải thích các thực hành tốt nhất về kiểm toán và ghi nhật ký an toàn.

9. Kiểm thử Bảo mật Ứng dụng Tĩnh và Động (SAST & DAST)

Sau khi hoàn thành module này, học viên sẽ có khả năng:

• Giải thích các khái niệm Kiểm thử Bảo mật Ứng dụng Tĩnh (SAST).
• Trình bày sự hiểu biết về các kỹ thuật đánh giá mã an toàn thủ công cho các lỗ hổng phổ biến.
• Giải thích Kiểm thử Bảo mật Ứng dụng Động.
• Trình bày kiến thức về các công cụ quét lỗ hổng ứng dụng tự động để thực hiện DAST.
• Trình bày kiến thức về các công cụ kiểm thử bảo mật dựa trên proxy để thực hiện DAST.

10. Triển khai và Bảo trì An toàn

Sau khi hoàn thành module này, học viên sẽ có khả năng:

• Hiểu tầm quan trọng của triển khai an toàn.
• Giải thích các thực hành bảo mật ở cấp độ máy chủ.
• Giải thích các thực hành bảo mật ở cấp độ mạng.
• Giải thích các thực hành bảo mật ở cấp độ ứng dụng.
• Giải thích các thực hành bảo mật ở cấp độ IIS.
• Giải thích các thực hành bảo mật ở cấp độ .NET.
• Giải thích các thực hành bảo mật ở cấp độ máy chủ SQL.
• Trình bày kiến thức về các hoạt động bảo trì và giám sát bảo mật.