campus icon

FICTIZIA — Formación de alto rendimiento en diseño, tecnología y arte digital

(+34) 91 172 33 13 info@fictizia.com Plaza de España 12, Madrid

tecnologías de desarrollo

Curso de técnicas de desarrollo Seguro (en remoto)

Orientado a desarrolladores implicados en el ciclo de vida del desarrollo de software que quieren conocer las debilidades y técnicas de desarrollo para crear aplicaciones seguras.

tecnologías de desarrollo

Curso de técnicas de desarrollo Seguro (en remoto)

  • Seguridad_para_developers
  • ciclo_de_vida
  • herramientas
  • análisis
  • vulnerabilidades
  • git_secrets
  • CWE
  • CVE
  • Docker
  • Jenkins
  • OWASP_top_10
  • dependencias
  • nmap
  • automatización
Duración 14 horas (7 sesiones)
máx. plazas 15 personas
Coste
350€
295€ promoción especial #fictiziaencasa
Modalidad de la formación Formación en remoto (tiempo real) en nuestro campus online. #fictiziaencasa
Orientado a Desarrolladores, ya sea de back o de front. En todo el ciclo de desarrollo nos podemos encontrar vulnerabilidades ya sean XSS (frontend) o SQL injections (backend). También para DevOps, ya que se enseña cómo analizar vulnerabilidades en imágenes de Docker y flujos de despliegue seguro.
Requisitos Conocimientos medios de programación.
100% Bonificable Esta es una formación bonificable por FUNDAE (Fundación Estatal para la formación en el empleo). Si eres trabajador/a por cuenta ajena tu empresa puede bonificar tu formación. Además Fictizia puede gestionar todo el papeleo si tu empresa así lo prefiere.
Próximas ediciones
18 de mayo de 2021 EN REMOTO Martes y Jueves de 19:30 a 21:30 (UTC+1)

Enfoque y objetivos

Este curso aporta valor a todo desarrollador/a que quiere mejorar sus aplicaciones desde el ámbito de la seguridad. No se trata de hacking ético sino de obtener conceptos de seguridad que a cualquier developer le van a aportar mucho valor enfocado su día a día como desarrollador.

Saber desarrollar está bien pero saber desarrollar de forma segura y tener siempre presente la seguridad es algo que a cualquier empresa le interesa. Si cuando desarrollamos lo hacemos de forma segura, evitaremos retrasos cuando el equipo de seguridad de la empresa revise cierta aplicación evitando que se tenga que "echar para atrás" el desarrollo por motivos de seguridad. Ese enfoque, conocido como Shift Left, busca poner la seguridad al principio del desarrollo y no al final.

Este curso de técnicas de desarrollo seguro está dirigido a cualquier desarrollador, ya sea de back o de front, ya que en todo ciclo de desarrollo nos podemos encontrar vulnerabilidades ya sean XSS (frontend) o SQL injections (backend). También será muy útil a devops puesto que veremos cómo como analizar vulnerabilidades en imágenes de Docker así como flujos de despliegue seguro.

Con este curso, el alumno aprenderá los fundamentos y técnicas del mundo del desarrollo seguro. Se mostrarán ejemplos de cómo incluir esas técnicas de desarrollo seguro en el día a día del desarrollador, ya sea con Jenkins o incluso utilizando precommits hooks.

En este curso de desarrollo seguro se explican en detalle términos muy comunes en seguridad como CWE o CVE para interpretar la información que nos muestran los analizadores y se muestran organizaciones que proveen listados de CVEs de manera pública para así poder buscar más información acerca de una vulnerabilidad concreta. Se hará un repaso general a OWASP Top 10 para ver cuáles son las vulnerabilidades web más comunes y familiarizarse con ellas. El alumno aprenderá también cómo Docker nos puede ayudar y el motivo por el que hay que estar pendientes de las vulnerabilidades que puedan tener nuestras imágenes, aprenderán a usar varios analizadores y veremos como integrarlos en nuestro flujo de trabajo. También aprenderá a escribir Dockerfiles de manera segura y veremos qué es eso del análisis de código estático, como interpretar la información que nos dan los analizadores, probaremos algunos de ellos y veremos cuáles son los más importantes en el mercado. Después veremos cómo podemos integrar esto en nuestros pipelines y escribir código seguro teniendo algunas cosas en mente.

En el curso veremos ejemplos de personas que han subido claves, contraseñas a repositorios y cómo les han hackeado. Veremos formas de encontrar ciertos secretos en Github, Trello, Jira, etc... precisamente para ver la importancia que tiene no subir secretos a nuestros repositorios. Usaremos también varios analizadores que nos permiten ver qué secretos tenemos en nuestro repositorio y cómo integrarlo tanto en Jenkins como en local usando precommit e incluso extensiones para el VSCode. Probaremos git-crypt, una forma de cifrar nuestros ficheros automáticamente cada vez que sube a git. Veremos qué analizadores de dependencias existen y cómo poder estar al tanto de cuando una dependencia externa tiene vulnerabilidades. Se hará un repaso al uso de nmap para ver qué puertos estamos exponiendo y que aplicaciones son las que hay detrás y luego veremos cómo podemos exponer todas nuestras aplicaciones en un solo puerto utilizando un proxy inverso con Kong Api Gateway.

El uso de todas las herramientas anteriormente mencionadas no tiene ningún sentido si no tenemos un flujo donde nos avise cada vez que hacemos un cambio en el código. Veremos cómo podemos hacer esto y qué problemas suelen surgir al hacerlo.

El curso de técnicas de desarrollo seguro dispone de una parte teórica y otra práctica, sobre todo con el uso de analizadores, de hacer pruebas, de ver cómo solucionar vulnerabilidades, como integrarlo todo, etc.

Profesorado del curso

El equipo de profesores de Fictizia está formado por expertos profesionales en activo y con una larga y rica trayectoria profesional que les capacita para reconocer las necesidades reales de un sector tan cambiante y exigente y cumplir el objetivo de Fictizia de ofrecer una formación que responda a la realidad del mundo laboral más exigente. Cada integrante del profesorado de Fictizia es un/a gran especialista en su campo que además comparte sus conocimientos, sus enorme experiencia, sus tropiezos, sus aciertos y la pasión por su trabajo en nuestras aulas.

Sergio Zamarro

Sergio Zamarro

Senior FullStack Developer en el área de seguridad de BBVA Next Technologies, donde actualmente desarrolla un producto destinado a acercar la seguridad a los desarrolladores ofreciendo feedback de manera prematura poniendo la seguridad en los primeros pasos del desarrollo y haciendo análisis de vulnerabilidades en imágenes de Docker, análisis de código estático (SAST) y búsqueda de secretos en repositorios (private keys, passwords, datos sensibles...). El punto fuerte de Sergio es el Frontend (uno de sus juguetes preferidos es el ecosistema React) aunque también tiene experiencia en Python, Golang y creando pipelines en Jenkins. Otra de sus pasiones es la seguridad. Dispone de experiencia en pruebas de Hacking Ético usando herramientas como nmap, OpenVAS, Nessus, montando proxy chains y todo lo que tiene que ver con el anonimato en la red. Además es amante del Open Source y de compartir conocimiento, lo que le ha llevado a ser ponente en algunos de lo los congresos de desarrollo más importantes del panorama nacional como Commit Conf, Codemotion o FrontFest.

El programa de contenidos

La formación en Fictizia se basa en una metodología teórico–práctica completamente orientada a dar respuesta a lo que el mundo laboral más exigente demanda actualmente.

En cada sesión formativa el profesor/a irá avanzando en la formación junto con los estudiantes mediante el desarrollo de los ejercicios prácticos que van involucrando progresivamente nuevos contenidos teóricos del programa de contenidos. Cada una de las prácticas se ha diseñado expresamente como reflejo de las técnicas, procesos, necesidades y situaciones reales que el alumno/a se encontrará después en su día a día laboral.

Además, esta formación no solo instruye en la mera ejecución de técnicas con el único fin de producir, también se preocupa de enseñar los fundamentos teóricos y críticos que le permitirán al alumno/a tomar decisiones basadas en criterios objetivos y analíticos de forma autónoma.

El conjunto de prácticas que se realizarán a lo largo de toda la formación está diseñado con una doble función: ser una parte esencial del proceso de aprendizaje durante el máster y también, una vez terminados los estudios de forma satisfactoria, actuar como su portafolio/reel con la que demostrar todas las capacidades aprendidas y que el alumno/a es capaz de llevar a cabo profesionalmente con solvencia. Algo esencial a la hora de acceder y desenvolverse posteriormente en el mercado laboral.

  1. Fundamentos del desarrollo seguro
  2. Cómo integrar el desarrollo seguro en nuestro día a día
    • La seguridad en la cultura de desarrollo de la empresa
    • Overview de Jenkins
  3. CWE. Qué es y tipos de debilidades
  4. CVE. Qué es y cómo interpretarlo
  5. OWASP TOP 10 para desarrolladores
  6. Análisis de vulnerabilidades en imágenes de Docker
    • Docker Scan
    • Clair
    • Buenas prácticas escribiendo Dockerfiles
  7. Análisis de código estático
    • NodeJS scan
    • Bandit
    • Buenas prácticas a la hora de escribir código
  8. Búsqueda de secretos en repositorios
    • GitLeaks
    • truffleHog
    • Cómo mantener nuestros secretos a salvo
    • Eliminación de secretos en git
  9. Análisis de dependencias
    • Snyk
    • npm-audit
    • RetireJs
  10. Uso de nmap y proxies inversos
    • Fundamentos de nmap
    • Kong api gateway
  11. Automatizando el uso de todas las herramientas
  12. Cómo aplicar todo lo anterior sin morir en el intento

Vuelve a ver tus clases las veces que quieras

A medida que la formación avance, las clases se irán grabando según se van desarrollando y poniendo a disposición del alumnado, tanto si están cursando en modalidad presencial como en remoto, en un servidor NAS de FICTIZIA específico al que podrán acceder desde cualquier lugar.
Así podrás volver a consultar cualquier detalle en todo momento durante tu formación.

Accede a nuestro grupo privado de empleo

Al finalizar tu formación tendrás acceso a nuestro grupo privado de Fictizia en Linkedin, Fictizia Alumni, donde se van publicando todas las ofertas de empleo que habitualmente nos hacen llegar las muchas empresas con las que colaboramos.

La calidad de la formación que reciben las personas que se forman en Fictizia se refleja en el nivel de las empresas que las contratan. Es un orgullo que las mejores compañías confíen en las capacidades de nuestros alumni y es la mejor prueba de la efectividad de la formación que ofrecemos:

  • Alumnos Fictizia en Google
  • Alumnos Fictizia en El Ranchito
  • Alumnos Fictizia en Ogilvy
  • Alumnos Fictizia en BBVA Next
  • Alumnos Fictizia en Lola Mullenlowe
  • Alumnos Fictizia en Ánima-Kitchent
  • Alumnos Fictizia en Atresmedia
  • Alumnos Fictizia en User-T38
  • Alumnos Fictizia en DDB
  • Alumnos Fictizia en Mach
  • Alumnos Fictizia en Byte London
  • Alumnos Fictizia en indra
  • Alumnos Fictizia en The Cocktail
  • Alumnos Fictizia en Wunderman-Thompson
  • Alumnos Fictizia en Ediciones SM
  • Alumnos Fictizia en Paradigma digital
  • Alumnos Fictizia en Panda Security
  • Alumnos Fictizia en Exit Consultores Audiovisuales
  • Alumnos Fictizia en Mediaset
  • Alumnos Fictizia en Everis
  • Alumnos Fictizia en Telson
  • Alumnos Fictizia en Lalivingston
  • Alumnos Fictizia en Kairos DS
  • Alumnos Fictizia en Twin Pines
  • Alumnos Fictizia en LUCA data driven solutions
  • Alumnos Fictizia en Redbility
  • Alumnos Fictizia en LeChuck
  • Alumnos Fictizia en Liquid Squad
  • Alumnos Fictizia en Social Mood
  • Alumnos Fictizia en Warner Bros International TV Production