Bezpieczeństwo / Bezpieczeństwo techniczne

Wiodący Menedżer Bezpieczeństwa Aplikacji (Lead Application Security Manager)

Pięciodniowe szkolenie akredytowane przez PECB — zarządzanie programem bezpieczeństwa aplikacji, Secure SDLC, modelowanie zagrożeń (STRIDE, DREAD), bezpieczne projektowanie i kodowanie, OWASP Top 10, testowanie bezpieczeństwa (SAST, DAST, IAST), zarządzanie podatnościami, DevSecOps, przygotowanie do egzaminu PECB.

Bezpieczeństwo aplikacji to nie „skan przed wdrożeniem” — to program, który integruje bezpieczeństwo na każdym etapie SDLC: od wymagań i modelowania zagrożeń, przez bezpieczne kodowanie, po SAST/DAST w pipeline CI/CD

80% ataków celuje w warstwę aplikacji. Naprawa podatności w produkcji kosztuje 30x więcej niż w fazie projektowania. Skuteczne bezpieczeństwo aplikacji wymaga: Secure SDLC, modelowania zagrożeń (STRIDE), bezpiecznych wzorców projektowych, narzędzi testowania (SAST, DAST, SCA), zarządzania podatnościami i DevSecOps — nie jednorazowego skanu.

Wiodący Menedżer Bezpieczeństwa Aplikacji to pięciodniowe szkolenie akredytowane przez PECB, realizowane przez EITT w formie stacjonarnej lub zdalnej. Program przygotowuje do zarządzania programem AppSec i egzaminu certyfikacyjnego PECB.

Dla kogo jest to szkolenie?

Dla menedżerów AppSec, architektów bezpieczeństwa i liderów deweloperskich. Szczególnie gdy:

  • Odpowiadasz za bezpieczeństwo aplikacji w organizacji i potrzebujesz frameworku do budowania programu AppSec (OWASP SAMM)
  • Wdrażasz DevSecOps i chcesz integrować SAST/DAST/SCA w pipeline CI/CD z automatycznymi Security Gates
  • Chcesz uzyskać certyfikat PECB Certified Lead Application Security Manager

Pięć dni: od Secure SDLC po egzamin PECB

Dzień 1: Program AppSec — Secure SDLC, frameworki (SAMM, BSIMM), wymagania bezpieczeństwa. Dzień 2: Projektowanie — modelowanie zagrożeń (STRIDE), OWASP Top 10, bezpieczna architektura. Dzień 3: Kodowanie i testowanie — bezpieczne praktyki, SAST, DAST, IAST, SCA. Dzień 4: Operacje — zarządzanie podatnościami, DevSecOps, incydenty, metryki. Dzień 5: Egzamin — kultura bezpieczeństwa, studia przypadków, egzamin PECB.

Z ponad 2500 szkoleń w ofercie i oceną 4.8/5, EITT jest zaufanym partnerem w rozwoju kompetencji. Skontaktuj się z nami — organizujemy szkolenia AppSec zamknięte dla zespołów deweloperskich.

Korzyści

  • Ustanawiać i zarządzać programem bezpieczeństwa aplikacji z wykorzystaniem frameworków (OWASP SAMM, BSIMM)
  • Przeprowadzać modelowanie zagrożeń (STRIDE, DREAD) i projektować bezpieczne architektury aplikacji
  • Wdrażać Secure SDLC z integracją bezpieczeństwa na każdym etapie cyklu życia oprogramowania
  • Stosować narzędzia testowania bezpieczeństwa (SAST, DAST, IAST, SCA) i interpretować ich wyniki
  • Zarządzać podatnościami (klasyfikacja CVSS, priorytetyzacja, remediation) i wdrażać DevSecOps
  • Przygotować się do egzaminu PECB Certified Lead Application Security Manager

Dla kogo jest to szkolenie?

Menedżerowie bezpieczeństwa aplikacji odpowiedzialni za program AppSec w organizacji
Architekci bezpieczeństwa projektujący bezpieczne architektury aplikacji
Liderzy zespołów deweloperskich wdrażający praktyki Secure SDLC i DevSecOps
Testerzy bezpieczeństwa przeprowadzający przeglądy kodu i testy penetracyjne aplikacji
Menedżerowie projektów IT odpowiedzialni za bezpieczeństwo dostarczanego oprogramowania
Osoby przygotowujące się do certyfikacji PECB Certified Lead Application Security Manager

Wymagania wstępne

  • Podstawowa wiedza o rozwoju oprogramowania i cyklu życia aplikacji
  • Znajomość koncepcji bezpieczeństwa IT
  • Doświadczenie w programowaniu (preferowane)

Program szkolenia

01

Dzień 1: Wprowadzenie do bezpieczeństwa aplikacji i Secure SDLC

  • Wprowadzenie do bezpieczeństwa aplikacji — krajobraz zagrożeń, statystyki podatności, koszt naprawy na różnych etapach SDLC
  • Secure SDLC — integracja bezpieczeństwa na każdym etapie cyklu życia (wymagania, projektowanie, kodowanie, testowanie, wdrożenie, utrzymanie)
  • Frameworki bezpieczeństwa aplikacji — OWASP SAMM (Software Assurance Maturity Model), BSIMM, Microsoft SDL, NIST SSDF
  • Program bezpieczeństwa aplikacji — ustanowienie, struktura, role (Security Champions), metryki, budżet, raportowanie do zarządu
  • Wymagania bezpieczeństwa — identyfikacja wymagań, abuse cases, security user stories, klasyfikacja danych
  • Ćwiczenia: ocena dojrzałości bezpieczeństwa aplikacji (OWASP SAMM), opracowanie security user stories
02

Dzień 2: Modelowanie zagrożeń i bezpieczne projektowanie

  • Modelowanie zagrożeń — metodologie (STRIDE, DREAD, PASTA, Attack Trees), identyfikacja zagrożeń, ocena ryzyka
  • Bezpieczne wzorce projektowe — defense in depth, least privilege, fail secure, separation of duties, secure by default
  • Bezpieczna architektura — autentykacja i autoryzacja (OAuth 2.0, OIDC, RBAC), zarządzanie sesjami, kryptografia
  • OWASP Top 10 — analiza najczęstszych podatności (injection, broken authentication, XSS, SSRF, insecure deserialization)
  • OWASP API Security Top 10 — zagrożenia specyficzne dla API (BOLA, broken authentication, excessive data exposure)
  • Ćwiczenia: przeprowadzenie modelowania zagrożeń (STRIDE) dla aplikacji webowej, identyfikacja mitygacji
03

Dzień 3: Bezpieczne kodowanie i testowanie bezpieczeństwa

  • Bezpieczne kodowanie — praktyki (input validation, output encoding, parameterized queries, error handling, logging)
  • Przeglądy kodu pod kątem bezpieczeństwa — manual code review, checklists, typowe wzorce podatności w kodzie
  • Static Application Security Testing (SAST) — narzędzia, integracja z IDE i CI/CD, analiza wyników, false positives
  • Dynamic Application Security Testing (DAST) — skanowanie, konfiguracja, crawling, fuzzing, interpretacja raportów
  • Interactive Application Security Testing (IAST) i Software Composition Analysis (SCA) — analiza zależności, CVE, licencje
  • Ćwiczenia: przegląd kodu pod kątem bezpieczeństwa, analiza wyników SAST, identyfikacja podatnych zależności (SCA)
04

Dzień 4: Zarządzanie podatnościami i DevSecOps

  • Zarządzanie podatnościami — proces (identyfikacja, klasyfikacja CVSS, priorytetyzacja, remediation, weryfikacja)
  • Testy penetracyjne aplikacji — metodologia, scope, rules of engagement, raportowanie, retesting
  • DevSecOps — integracja bezpieczeństwa w pipeline CI/CD, Security Gates, automatyzacja testów bezpieczeństwa
  • Reagowanie na incydenty bezpieczeństwa aplikacji — identyfikacja, containment, eradication, recovery, lessons learned
  • Metryki programu AppSec — MTTR, density of vulnerabilities, coverage, training metrics, trend analysis
  • Ćwiczenia: opracowanie pipeline DevSecOps z security gates, klasyfikacja podatności (CVSS), plan remediacji
05

Dzień 5: Przygotowanie do egzaminu PECB

  • Podsumowanie programu bezpieczeństwa aplikacji — przegląd kluczowych koncepcji i praktyk
  • Budowanie kultury bezpieczeństwa — Security Champions program, szkolenia deweloperów, gamification, CTF wewnętrzne
  • Studia przypadków — analiza programów AppSec w organizacjach (fintech, e-commerce, SaaS)
  • Przygotowanie do certyfikacji PECB — format egzaminu, typy pytań, strategie zdawania
  • Egzamin próbny — symulacja egzaminu PECB Certified Lead Application Security Manager
  • Egzamin certyfikacyjny PECB (opcjonalny) — egzamin pisemny prowadzący do certyfikatu PECB Certified Lead Application Security Manager

Formy realizacji

Online

  • Wygoda uczestnictwa z dowolnego miejsca
  • Interaktywne sesje na żywo z trenerem
  • Materiały dostępne przez 30 dni
  • Brak kosztów dojazdu

Stacjonarnie

  • Bezpośredni kontakt z trenerem i grupą
  • Intensywne warsztaty praktyczne
  • Networking z innymi uczestnikami
  • Pełne skupienie na nauce

Tematy szkolenia

Secure SDLC — bezpieczeństwo w cyklu życia OWASP SAMM i BSIMM — dojrzałość AppSec Modelowanie zagrożeń — STRIDE, DREAD, PASTA OWASP Top 10 — injection, XSS, SSRF OWASP API Security Top 10 — BOLA Bezpieczne kodowanie — validation, encoding SAST — statyczna analiza kodu DAST — dynamiczne skanowanie SCA — analiza zależności, CVE DevSecOps — security gates, CI/CD Zarządzanie podatnościami — CVSS, remediation Certyfikacja PECB — przygotowanie do egzaminu

Najczęściej zadawane pytania

Czy szkolenie jest akredytowane przez PECB?

Tak — PECB jest naszym partnerem. Szkolenie jest akredytowane przez PECB i przygotowuje do egzaminu certyfikacyjnego PECB Certified Lead Application Security Manager.

Czy to szkolenie techniczne czy menedżerskie?

Oba — program łączy aspekty techniczne (OWASP Top 10, SAST/DAST, modelowanie zagrożeń, przegląd kodu) z zarządzaniem programem AppSec (SAMM, metryki, budżet, Security Champions). To szkolenie dla osób, które muszą rozumieć technologię I zarządzać bezpieczeństwem.

Czy omawiany jest DevSecOps?

Tak — dzień 4 obejmuje integrację bezpieczeństwa w pipeline CI/CD, Security Gates, automatyzację testów bezpieczeństwa i metryki programu AppSec.

W jakim formacie i jak długo trwa szkolenie?

Szkolenie trwa 5 dni (9:00-16:00), dostępne online i stacjonarnie. Dzień 5 obejmuje przygotowanie do egzaminu i opcjonalny egzamin PECB.

Czy po szkoleniu otrzymam certyfikat?

Tak, każdy uczestnik otrzymuje imienny certyfikat ukończenia szkolenia wydany przez EITT. Dodatkowo, po zdaniu egzaminu, można uzyskać certyfikat PECB Certified Lead Application Security Manager.

Powiązane szkolenia

bezpieczenstwo

Wiodący Menedżer ds. Testów Penetracyjnych (Lead Penetration Testing Manager)

Pięciodniowe szkolenie akredytowane przez PECB — planowanie i zarządzanie testami penetracyjnymi, rekonesans, skanowanie...

Czytaj więcejbezpieczenstwo

z/OS Security Server RACF — wdrożenie, konfiguracja i customizacja bezpieczeństwa mainframe

Trzydniowe szkolenie IBM (SZ81G) — RACF na z/OS: baza danych RACF, profile i funkcje, kontrola programu, customizacja, r...

Czytaj więcejbezpieczenstwo

Cybersecurity Roles, Processes & OS Security — fundamenty bezpieczeństwa IT

Jednodniowe szkolenie z fundamentów cyberbezpieczeństwa — role SOC, procesy ITIL, CIA triad, AAA, kontrola dostępu, OWAS...

Czytaj więcejbezpieczenstwo

z/VM RACF and DirMaint Implementation

Ten kurs wprowadza studentów do implementacji produktów programowych DirMaint i RACF Security Server dla z/VM. Klasa kon...

Czytaj więcejbezpieczenstwo

Bezpieczeństwo informacji

Szkolenie wprowadza systemowe podejście do bezpieczeństwa informacji w oparciu o aktualne normy i standardy branżowe. Pr...

Czytaj więcejbezpieczenstwo

Szkolenie Cyberbezpieczeństwo w administracji publicznej

Szkolenie z zakresu cyberbezpieczeństwa przeznaczone dla pracowników administracji publicznej, koncentrujące się na prak...

Czytaj więcej

Przeczytaj w bazie wiedzy

Security by Design: jak wbudować bezpieczeństwo w cykl rozwoju oprogramowania (SDLC)?

Poznaj zasady Security by Design i dowiedz się, jak skutecznie integrować bezpieczeństwo w procesie tworzenia oprogramow...

Czytaj więcej

Bezpieczeństwo aplikacji webowych: dogłębny przewodnik po OWASP Top 10 dla liderów IT

Definitywny przewodnik po OWASP Top 10. Zrozum każde z 10 największych ryzyk, poznaj ich wpływ na biznes i dowiedz się, ...

Czytaj więcej

Czym jest Bezpieczeństwo aplikacji webowych? Definicja, zagrożenia, mechanizmy ochrony i najlepsze praktyki

Poznaj kompleksowe podejście do bezpieczeństwa aplikacji webowych. Dowiedz się, jak skutecznie chronić aplikacje przed w...

Czytaj więcej
Anna Polak
Anna Polak Opiekun szkolenia
+48 600 010 440 anna.polak@eitt.pl

Poproś o ofertę

Możliwości dofinansowania

Sprawdź możliwości dofinansowania dla Twojej firmy

Zaufali nam

Szkolimy zespoły największych polskich firm

ING Bank - klient EITT
mBank - klient EITT
PKO Bank Polski - klient EITT
PZU - klient EITT
Allianz - klient EITT
T-Mobile - klient EITT
KGHM - klient EITT
PGE - klient EITT
IKEA - klient EITT
InPost - klient EITT
Leroy Merlin - klient EITT
ZUS - klient EITT

Zainteresowany tym szkoleniem?

Skontaktuj się z nami - przygotujemy ofertę dopasowaną do potrzeb Twojego zespołu.

500+ ekspertów
2500+ szkoleń w ofercie
ISO 9001 certyfikat jakości
Zapytaj o ofertę Inne szkolenia z kategorii
Zapytaj o szkolenie
Zadzwoń do nas +48 22 487 84 90