{"id":2730,"date":"2019-02-21T09:21:45","date_gmt":"2019-02-21T07:21:45","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=2730"},"modified":"2019-02-21T12:55:04","modified_gmt":"2019-02-21T10:55:04","slug":"bacscp-die-entstehung-des-secure-coding-trainings","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/binsec\/bacscp-die-entstehung-des-secure-coding-trainings\/","title":{"rendered":"BACSCP: Die Entstehung des Secure Coding Trainings"},"content":{"rendered":"

Jedes Semester schlie\u00dfen Tausende Informatikstudenten erfolgreich ihr Studium ab – leider meist ohne oder mit nur geringen Kenntnissen in sicherer Softwareentwicklung. Wen wunderts, dass dann altbekannte Schwachstellen wie Cross-Site-Scripting (XSS) noch immer nicht der Vergangenheit angeh\u00f6ren. Als Folge stehen Unternehmen selbst in der Verantwortung, ihre Entwickler zu schulen und f\u00fcr Sicherheitsma\u00dfnahmen in deren Softwareprodukten zu sorgen.<\/em><\/p>\n

\n

Die Geschichte unserer neuartigen Online-Schulung begann vor ein paar Jahren mit einer Kundenanfrage bez\u00fcglich einer OWASP-Entwicklerschulung zu sicherer Softwareentwicklung. Als PCI-DSS-zertifiziertes Unternehmen musste unser Kunde j\u00e4hrlich nachweisen, dass sich seine Softwareentwickler im Rahmen der aktuellen Techniken zur sicheren Programmierung fortbilden. Nat\u00fcrlich h\u00e4tte als Nachweis auch eine Bescheinigung dar\u00fcber gen\u00fcgt, ein Buch gelesen oder an einem Vortrag (passiv) teilgenommen zu haben… So etwas kann aber weder im Sinne des PCI DSS noch im Sinne der Softwareentwickler sein.<\/p>\n

So kam es dazu, dass wir als binsec einen 2-Tages-Workshop konzipierten, zu gleichen Teilen aus Theorie- und aus Praxiselementen aufgebaut. W\u00e4hrend wir am ersten Tag auf die Anforderungen des PCI-DSS an Softwareentwickler und auf die OWASP Top 10 eingingen, musste jeder Schulungsteilnehmer am zweiten Tag eine verwundbare Webanwendung h\u00e4rten und anschlie\u00dfend versuchen, die in den Anwendungen seiner Kollegen verbliebenen Schwachstellen auszunutzen. Mit jedem erfolgreichen Angriff sammelten die Teilnehmer Punkte und kamen damit dem Gewinn der Siegespr\u00e4mie – eines Amazon Gutscheins – Schritt f\u00fcr Schritt n\u00e4her. Unterm Strich verlief der erste Teil des Trainings durchaus erfolgreich, doch stach das positive Feedback zum zweiten Abschnitt deutlich hervor. Die Teilnehmer waren fokussiert und engagiert sich gegenseitig \u201eauszuspielen\u201c, weshalb ihre R\u00fcckmeldung f\u00fcr uns nicht \u00fcberraschend kam: \u201eWeniger Theorie, mehr Praxis, bitte.\u201c<\/p>\n

Wir begannen parallel zu dieser Entwicklerschulung, diverse Lehrveranstaltungen an Hochschulen zu halten, in denen wir sukzessive den Praxisanteil in den Vordergrund r\u00fcckten. Wie schon bei unserer Vorlesung zu Penetration-Testing, aus der unser Zertifizierungslehrgang \u201eBinsec Academy Certified Pentest Professional (BACPP)\u201c hervorgegangen ist, entschieden wir als binsec uns auch bei unserer Entwicklerschulung \u201eSecure Software Development Training\u201c dazu, sie zur Basis von etwas Neuem zu machen: Es schlug die Geburtsstunde des \u201eSecure Coding Trainings\u201c der binsec academy<\/a>:<\/p>\n

In dieser Online-Schulung zu Secure Coding schl\u00fcpft der Teilnehmer in die Rolle eines Teamleiters, dem die Aufgabe zuteilwird, in einer verwundbaren REST-API die am meisten verbreiteten Schwachstellen (OWASP TOP 10) zu identifizieren und diese im Programmcode zu beheben. Der Clou dabei ist: Der Teilnehmer kann als Programmiersprache PHP, Java, Python, Perl, Go, Ruby oder Node.js w\u00e4hlen und wird mit unserem BACSCP-Zertifikat (Binsec Academy Certified Secure Coding Professional) belohnt, wenn mindestens acht von insgesamt zehn Sicherheitsl\u00fccken erfolgreich entfernt wurden. Zertifizierte BACSCPler k\u00f6nnen<\/p>\n