Detail předmětu

Bezpečné kódování

FIT-SCOAk. rok: 2022/2023

Předmět seznamuje s principy a postupy bezpečného kódování. Bezpečné kódování znamená psaní programů bezpečným způsobem, aby se předešlo zranitelnostem, které mohou útočníci zneužít. Znamená to také náležitě a efektivně využívat funkce zabezpečení poskytované knihovnami, jako je ověřování a šifrování. Bude zvážena řada programovacích platforem, od nízkoúrovňových (např. Android OS), přes webové programování (např. JavaScript a Python) až po rozsáhlé jazyky na vysoké úrovni (např. Java). Budou zkoumány nové a vznikající jazykové bezpečnostní mechanismy, včetně způsobů statické a dynamické analýzy. 

Jazyk výuky

čeština

Počet kreditů

5

Garant předmětu

doc. Dr. Ing. Petr Hanáček

Zajišťuje ústav

Ústav inteligentních systémů (UITS)

Výsledky učení předmětu

Studenti se naučí obecné principy a postupy bezpečného psaní programů. 

Prerekvizity

Základní znalosti programování a algoritmizace. 

Způsob a kritéria hodnocení

Bodové hodnocení výsledků vypracovaných projektů. 

Učební cíle

Cílem předmětu je seznámit studenty se základními principy bezpečného psaní programů a vysvětlit obecné principy zranitelných míst a obrany proti nim. K zajištění korektního návrhu a implementace aplikací tak, aby splňovali bezpečnostní požadavky je nutno začlenit praktiky bezpečného kódování jako běžnou součást všech fází procesu vývoje software. Klíčovým krokem je vzdělání vývojářů, tak aby znali podstatné základní principy bezpečného kódování, uměli je aplikovat, a to bez ohledu na prostředí ve kterém pracují. 

 

Vymezení kontrolované výuky a způsob jejího provádění a formy nahrazování zameškané výuky

Průběžná kontrola a hodnocení projektů, závěrečná zkouška. Pro získání bodů ze zkoušky je nutné zkoušku vypracovat tak, aby byla hodnocena více než 20 body. V opačném případě bude zkouška hodnocena 0 body. 

Doporučená literatura

Fred Long et al. The Oracle/CERT Secure Coding Standard for Java, Addison-Wesley, 2011. Available online at http://www.cert.org/secure-coding/
The OWASP web application security project: https://www.owasp.org/
Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF), https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04232020.pdf
Michael Howard, David LeBlanc: Writing Secure Code, Microsoft Press, Second Edition, ISBN-13: 978-0735617223
John Viega, Matt Messier: Secure Programming Cookbook for C and C++, 2003, O'Reilly Media, Inc., ISBN: 9780596003944
Michael Howard, Steve Lipner: The Security Development Lifecycle, 2006, Microsoft Press, ISBN: 0735622140
Ross Anderson: Security Engineering: A Guide to Building Dependable Distributed Systems, 3rd Edition, ISBN: 978-1-119-64281-7

eLearning

eLearning: aktuální otevřený kurz

Zařazení předmětu ve studijních plánech

  • Program MITAI magisterský navazující

    specializace NBIO , libovolný ročník, zimní semestr, volitelný
    specializace NISD , libovolný ročník, zimní semestr, volitelný
    specializace NISY do 2020/21 , libovolný ročník, zimní semestr, volitelný
    specializace NISY , libovolný ročník, zimní semestr, volitelný
    specializace NIDE , libovolný ročník, zimní semestr, volitelný
    specializace NCPS , libovolný ročník, zimní semestr, volitelný
    specializace NSEC , libovolný ročník, zimní semestr, volitelný
    specializace NMAT , libovolný ročník, zimní semestr, volitelný
    specializace NGRI , libovolný ročník, zimní semestr, volitelný
    specializace NNET , libovolný ročník, zimní semestr, volitelný
    specializace NVIZ , libovolný ročník, zimní semestr, volitelný
    specializace NSEN , libovolný ročník, zimní semestr, volitelný
    specializace NMAL , libovolný ročník, zimní semestr, volitelný
    specializace NHPC , libovolný ročník, zimní semestr, volitelný
    specializace NVER , libovolný ročník, zimní semestr, volitelný
    specializace NEMB do 2021/22 , libovolný ročník, zimní semestr, volitelný
    specializace NEMB , libovolný ročník, zimní semestr, volitelný
    specializace NADE , libovolný ročník, zimní semestr, volitelný
    specializace NSPE , libovolný ročník, zimní semestr, volitelný

Typ (způsob) výuky

 

Přednáška

26 hod., nepovinná

Vyučující / Lektor

doc. Dr. Ing. Petr Hanáček
doc. Dr. Ing. Dušan Kolář
Mgr. Kamil Malinka, Ph.D.

Osnova

  1. Úvod, rekapitulace pojmů (robustní kód, bezpečný kód, samo se chránící kód, reentrantní kód, intermediární kód, binární kód, binární kód pro VM, role OS, role VM, ...). (DK)
  2. Cíle útočníků, únik z pískovište, elevace privilegií, cesta od zranitelnosti k exploitu, CVE. (HaP)
  3. Základní zranitelnosti kompilovaných jazyků - buffer overflow, řetězce, integer overflow. (HaP)
  4. Mechanismy ochrany paměti, ochrana zásobníku, Return oriented programming, ASLR. Základní zranitelnosti interpretovaných jazyků - práce s pamětí, use after free. (HaP)
  5. Usable security a vliv UX na bezpečnost celého systému. Bezpečnost implementace protokolů, IoT, bezpečnost API. (KM)
  6. Validace vstupních hodnot, testování, fuzzing. (DK)
  7. Statická a dynamická analýza. (DK)
  8. Standardy pro bezpečné kódování, OWASP, SSDF. (KM)
  9. Bezpečné generování náhodných čísel. (HaP)
  10. Seminář - Útok na javascript a jak se tomu bránit. (DK, KM)
  11. Seminář - Útok na Java a jak se tomu bránit. (DK, KM)
  12. Seminář - Útoky na binárku a jak se tomu bránit. (DK, KM)
  13. Seminář - Demonstrace zajímavých projektů, řešení. (KM)

Projekt

26 hod., nepovinná

Vyučující / Lektor

doc. Dr. Ing. Dušan Kolář
Mgr. Kamil Malinka, Ph.D.

Osnova

Samostatně řešené projekty.

eLearning

eLearning: aktuální otevřený kurz