Děkujeme za vaši dotaz! Jeden z našich pracovníků vás brzy kontaktuje.
Děkujeme za rezervaci! Jeden z našich pracovníků vás brzy kontaktuje.
Návrh Školení
Základy bezpečného Pythonu a nástroje
- Bezpečnostní základ Pythonu 3.x: úvahy o verzích, standardy PEP a bezpečné praktiky instalace
- Konfigurace profesionálního IDE: bezpečnostní rozšíření VS Code/PyCharm, linteri (Flake8, Pylint) a ladící programy
- Izolace prostředí:
venv/conda, kontejnerizace a reprodukce laboratorních prostředí - Laboratorní cvičení: Zřízení bezpečného Python pracovního prostoru s integrovaným linterem pro bezpečnost a sledováním závislostí
Bezpečnost jadra jazyka a bezpečná práce s daty
- Číselné typy a přesnost: vyhýbání se útokům manipulace s pohyblivou řádovou čárkou a bezpečné převody typů
- Řetězce a kódování: normalizace Unicode, validace kódování a prevence zranitelností interpolace
- Seznamy, slovníky a kolekce: bezpečné datové struktury, zmírňování kolizí hashů a bezpečná serializace
- Regulární výrazy a matchování vzorů: tvorba bezpečných regulárních výrazů (prevence ReDoS), vzory validace vstupu
- Laboratorní cvičení: Přepsání insecure kódu pro zpracování dat na bezpečnou, validovanou a typově označenou implementaci
Řídící tok, funkce a bezpečná architektura
- Příkazy a výrazy Pythonu: bezpečné přiřazení, zpracování výjimek a vyhýbání se tichým selháním
- Podmínky If a syntaxe: bezpečná logika podmínek, prevence zranitelností dynamického provádění (
eval/exec/pickle) - Opakovací příkazy: bezpečné smyčky, prevence vyčerpání zdrojů a zpracování timeoutu
- Funkce a enkapsulace: bezpečné předávání parametrů, typové označení a modelování hrozeb na úrovni funkce
- Laboratorní cvičení: Refaktorizace zranitelného řídicího toku do bezpečných, audovatelných a defenzivních vzorců kódu
Moduly, balíčky a bezpečnost omezená kontextem prostředí (Python skope-rules)
- Bezpečnost importu modulů: vyhýbání se kruhovým importům, bezpečné řešení balíčků a izolace jmenných prostorů
- Správa závislostí:
pip/requirements.txt, soubory zámku (lockfiles), bezpečnost dodavatelského řetězce a detekce zranitelných balíčků - Správa tajných údajů a pověření: proměnné prostředí, nejlepší praktiky
.enva prevence tvrdě zakódovaných tajných údajů - Implementace
skope-rules: řízení přístupu omezené rozsahem, vynucování zásad za chodu a izolace závislostí - Laboratorní cvičení: Audit závislostí projektu v Pythonu a implementace bezpečnostních zásad omezených kontextem prostředí
Specifické zranitelnosti Pythonu a jejich zmírnění
- OWASP Top 10 pro Python/WSGI/ASGI aplikace: injection, obejdení ověřování, insecure deserializace, SSRF a traversing cest
- Bezpečný vstup/výstup a práce s soubory: bezpečné popisovače souborů, prevence traversing adresářů a sandboxované provádění
- Bezpečnost webu a API v Pythonu: bezpečná manipulace s požadavky, kódování výstupu a ochrana na úrovni frameworku (FastAPI/Flask/Django)
- Laboratorní cvičení: Identifikace a oprava specifických zranitelností Pythonu v ukázkové aplikaci pomocí bezpečných alternativ
Automatizované bezpečnostní testování a integrace DevSecOps
- Nástroje SAST pro Python: Bandit, Semgrep a tvorba vlastních pravidel pro detekci zranitelností v daném rozsahu
- DAST a skenování závislostí:
pip-audit, Safety a integrace OWASP ZAP pro objevování hrozeb v chodu - Bezpečnost CI/CD pipeline: pracovní postupy GitHub Actions/GitLab CI pro automatizované bezpečnostní brány Pythonu a reportování souladu
- Bezpečné metodologie testování: modelování hrozeb pro mikroservisí Pythonu, základy fuzzingu a ochrana v chodu
- Laboratorní cvičení: Sestavení automatizované pipeline pro skenování bezpečnosti Pythonu a interpretace reportů o nápravě
Závěrečná práce, shrnutí a cesty k bezpečnému vývoji
- Simulace koncového bezpečného vývojového workflow pro Python
- Review kódu z hlediska bezpečnosti: identifikace anti-patterns, aplikování bezpečných oprav a dokumentování rozhodnutí
- Položení otázek a sdílení zdrojů (checklisty pro bezpečné kódování, knihovny bezpečnosti Pythonu, oficiální standardy, šablony
skope-rules) - Závěr kurzu a další kroky pro mistrovství v bezpečnosti Pythonu
Požadavky
Základy jakéhokoli programovacího jazyka
Základy informační bezpečnosti
14 Hodiny
Reference (2)
Praktické cvičení související s obsahem skutečně pomáhají lépe pochopit každý téma. Navíc, styl začínání hodiny přednáškou a pokračování praktickým cvičením je dobrý a užitečný pro propojení s přednáškou prezentovanou dříve.
Nazeera Mohamad - Ministry of Science, Technology and Innovation
Kurz - Introduction to Data Science and AI using Python
Přeloženo strojem
Příklady a cvičení dokonale přizpůsobené našemu oboru
Luc - CS Group
Kurz - Scaling Data Analysis with Python and Dask
Přeloženo strojem
