مرور امنیتی کد بوسیله ابزارهای SAST

این کارگاه بصورت مجازی و آنلاین برگزار می گردد.

مدت زمان برگزاری: 4 ساعت

مرور امنیتی کد که در بخش چهارم از توسعه امن محصول قرار دارد یک فرآیند دستی یا خودکار است که کد برنامه را بررسی می کند. هدف از این بررسی شناسایی هر گونه نقص یا آسیب پذیری امنیتی موجود است.
بررسی خودکار امنیتی کد فرآیندی است که در آن یک ابزار به طور خودکار کد یک برنامه را با استفاده از مجموعه ای از قوانین از پیش تعریف شده برای جستجوی کدهای آسیب پذیر بررسی می کند. بررسی خودکار می تواند مشکلات را در کد سریعتر از شناسایی دستی آنها پیدا کند.
بررسی کد دستی شامل یک انسان است که به دنبال کد برنامه، خط به خط، برای یافتن آسیب‌پذیری‌ها است. بررسی کد دستی به روشن شدن زمینه تصمیمات کدگذاری کمک می کند. ابزارهای خودکار سریع‌تر هستند، اما نمی‌توانند اهداف توسعه‌دهنده و منطق تجاری عمومی را در نظر بگیرند. بررسی دستی بیشتر استراتژیک است و به مسائل خاص نگاه می کند.
به منظور بررسی خودکار امنیتی کد از ابزارهایی با نام SAST به معنی تست استاتیک امنیتی برنامه کاربردی استفاده می گردد. این ابزارهای به صورت قاعده محور می توانند آسیب­پذیری های شناخته شده را کشف کنند.

برخی از نقاط ضعف و قوت ابزارهای SAST به شرح زیر می باشد:

1. تشخیص نادرست آسیب ­پذیری
2. عدم تحلیل منطق برنامه کاربردی
3. عدم اجرای به صورت محلی
4. عدم تشخیص آسیب پذیری
5. سرعت بالا در تشخیص
6. کاربری آسان
7. یکپارچگی با سامانه های DevOps

سرفصل های مرور امنیتی کد بوسیله ابزارهای SAST:

1) مبانی مرور امنیتی کد:

1. مرور اسناد امنیتی کد شامل OWASP
2. مرور فرآیند SecDevOps

(2 ساعت)

2) معرفی ابزارهای SAST منتخب

ارزیابی ابزارهای SAST منتخب

(1 ساعت)

3) مرور امنیتی کد (عملی)

(1 ساعت)

پیش نیاز علمی و یا عملی لازم برای شرکت کنندگان یا قید آزاد بودن شرکت برای عموم:

• متخصص امنیت
• توسعه دهندگان

معرفی استاد:
محمد مهدی چکیده خون فارغ التحصیل مهندسی مخابرات در سال 2016 با تمرکز بر شناسایی تهدیدات در شبکه تلفن همراه و  12 سال است که به عنوان یک متخصص امنیتی در RCDAT کار می کند.