本文档介绍阿里云代码扫描服务。

背景

随着企业将更多的业务迁移到云上,购买了多种安全防护产品的同时,员工的安全意识和安全能力同样值得重视。阿里云安全培训服务结合平台自身多年的攻防经验和安全能力精心设计了多种课程,帮助企业赋能员工安全能力,以应对日常研发过程中的问题和云上突发的安全事件。客户可以根据企业自身的需求以及需要安全培训的人员数量购买1-5天不等的培训课程。

服务内容

安全培训根据不同企业的需要提供了以下课程:

  • 网站渗透测试

    • 帮助学员了解并掌握黑客通过Web为入口进行攻击的手段。
    • 提高学员的安全设计能力,避免Web应用存在安全漏洞的风险。
  • APP渗透测试

    • 帮助学员了解并掌握黑客通过APP为入口进行攻击的手段。
    • 帮助学员在研发阶段设计出合理的安全防御手段,避免APP在研发阶段由于不合理的设计造成安全漏洞。
  • 攻击路径

    • 帮助学员了解并掌握黑客通过Web为入口进行攻击的手段。
    • 提高学员的安全设计能力,避免Web应用存在安全漏洞的风险。
    • 通过模拟黑客攻击手段对APK文件进行逆向破解,提升学员逆向分析能力。
  • APP风险评估与加固

    • 介绍移动APP安全风险评估相关内容。
    • 帮助学员掌握如何设计出更加安全的Andorid应用。
    • 避免学员在研发过程中由于安全知识的匮乏而设计出不安全的移动应用。
  • 二进制漏洞分析与挖掘

    • 手动法漏洞挖掘,依靠手动的形式找到挖掘点,构造畸形数据,发现软件的漏洞。
    • 介绍如何确定挖掘点,找到漏洞形成原因以及修复漏洞的方法。
    • 通用fuzz法(Fuzz Testing(模糊测试),即构造一系列无规则的“坏”数据插入应用程序,判断程序是否出现异常,以发现潜在的bug)漏洞挖掘,利用自动化测试工具对目标程序进行fuzz测试,介绍工具的使用及示例。
    • 其他挖掘方法以及示例介绍。
  • 网站安全开发

    • 介绍软件开发模型和常用的软件开发方法。
    • 分别从整型、字符串、数组、指针、函数、多线程、文件、内容、面向对象和Web等方面介绍软件开发过程中常见的安全问题。
    • 了解安全审计、安全通信、密码支持、用户数据保护、标识和识别(身份认证)、安全管理等安全功能。
    • 安全开发流程培训,让学员充分了解安全开发流程,并将以上防御方案融入到实际开发项目中。
    • 某移动APP安全开发方案以及安全开发规范示例。
  • 攻防对抗体系建设

    • 攻防安全,包括各种常见漏洞的攻击原理和防护手段(含现场演练)。
    • APP安全,包括APP上常见的安全漏洞、攻击手段及防御方法(含现场演练)。
    • 运维安全,包括网络安全、系统安全、中间件/web service、应用安全、人员安全意识、安全预防、入侵检测、应急响应等部分。
    • 业务安全,包括常见的业务逻辑问题,安全的业务逻辑设计方法(含现场演练)。
    • 开发流程安全,包括安全开发规范、产品设计与开发安全红线、安全评审、安全测试、owasp top 10等(含现场演练)。
  • 应急响应

    • 企业安全应急响应体系建设思路,包括管理手段、技术手段、安全生态等。
    • 应急响应过程讲解及演示,包括风险定位、被黑定位、风险修复、攻击溯源。
  • 安全运维

    • 运维安全意识与基础经验讲解,包括SevOps过程、漏洞、风险、威胁、事件。
    • 安全运维10大免费工具讲解、安全运维Checklist。
  • 员工安全意识

    • 人员信息安全意识培训,使用最贴近企业业务场景的实验进行现场演示。
    • 人员信息安全意识缺乏造成的常见漏洞讲解与演练。