EventoWeb
Zürcher Hochschule für Angewandte Wissenschaften
[
Deutsch (Schweiz)
Deutsch (Schweiz)
] [
Englisch
Englisch
]
Nicht angemeldet
[Home]
[Anmelden]
[Drucken]
Navigation
Kontakt zu Service Desk
Online-Dokumentation
Allgemeiner Zugriff
Module suchen
t.BA.IT.SWS1-EN.15HS (Software and System Security 1)
Modul: Software and System Security 1
Diese Information wurde generiert am: 29.03.2024
Nr.
t.BA.IT.SWS1-EN.15HS
Bezeichnung
Software and System Security 1
Veranstalter
T InIT
Credits
4
Beschreibung
Version: 5.0 gültig ab 01.08.2018
Modulverantwortung:
Rennhard, Marc (rema)
Modul- / Lernziele: (Kompetenzen)
Ziel
Kompetenzen
Taxonomiestufen
Sie verstehen den Secure Software Development Lifecycle und die Sicherheitsaktivitäten, die dabei während den verschiedenen Phasen eingesetzt werden müssen. Zudem können Sie diese Aktivitäten auf einen beliebigen Softwareentwicklungsprozess anwenden.
F, M
K2, K3
Sie kennen Methoden und Tools, um Sicherheitsschwachstellen in implementierten Systemen aufzudecken und Sie können diese Methoden und Tools einsetzen, um Schwachstellen selbst zu finden und auszunutzen. Dies wird Penetration Testing genannt.
F, M
K3, K4, K5
Sie kennen Methoden, um die Sicherheit eines Systemdesigns zu analysieren und Sie können diese Methoden anwenden, um konzeptionelle Sicherheitsfehler aufzudecken. Dies wird üblicherweise als Threat Modeling (Bedrohungsanalyse) bezeichnet.
F, M
K3, K4, K5
Sie können sichere Systeme konzipieren, indem Sie geeignete Sicherheitsanforderungen definieren und typische sichere Designprinzipien anwenden.
F, M
K3, K6
Sie können sichere Applikationen entwickeln. Dazu wird Java als Beispielssprache und -technologie eingesetzt, wobei das meiste, das Sie lernen, direkt auch auf andere Sprachen und Technologien übertragen werden kann.
F, M
K3, K6
Modul- / Lerninhalte:
Meldungen über grössere Datenlecks oder andere IT-Sicherheitsvorfälle erreichen uns fast täglich. Die Ursache sind meist Schwachstellen in Software und Systemen und der Hauptgrund, warum wir heute so viele Sicherheitsschwachstellen haben,
liegt daran, dass viele Softwareingenieure weder wissen, wie man sichere IT Systeme entwickelt, noch haben sie nennenswerte Kenntnisse realer Bedrohungen und Attacken gegen solche Systeme. Viele Softwareingenieure sind zudem der Ansicht, dass es für das Entwickeln sicherer Software reicht, wenn
man die Programmiersprachen und Frameworks kennt,
wenn man gutes Softwaredesign versteht und wenn man agile Entwicklungsprozesse sinnvoll einsetzt. Diese Denkweise ist allerdings komplett falsch: Die Sicherheit von Software entsteht nicht einfach von selbst. Stattdessen muss man sich
aktiv und während des ganzen Software-Entwicklungsprozesses
darum kümmern. Dies bedingt zusätzliche Skills, die gelernt und beherrscht werden müssen.
In diesem Modul werden Sie lernen, wie man sichere Software und Systeme entwickelt, wobei sämtliche Phasen des Entwicklungsprozesses relevant sind.
Wenn Sie z.B. Anforderungen definieren, dann werden Sie lernen sich zu fragen «was kann denn möglicherweise schieflaufen und wie schlimm könnte dies sein?». Basierend auf den dabei definierten Sicherheitsanforderungen werden Sie dann lernen, wie man sichere Software konkret konzipiert und implementiert, so dass diese resistent gegen Cyberattacken ist. Ebenfalls werden Sie einige Hacking Skills lernen, denn wenn Sie ein sicherheitsbewusster Softwareingenieur sein möchten, dann müssen Sie wissen, wie Angreifer vorgehen. Dazu gehört auch, dass Sie lernen, einen Penetration Test der eigenen Software oder der Software von Dritten durchzuführen.
Dieses Modul ist sehr empfehlenswert für alle, die sich im Berufsleben im Bereich Software Engineering betätigen möchten oder die sich ganz generell für Informationssicherheit interessieren. Das Nachfolgemodul, Sofware and System Security 2, vertieft einige Themen aus diesem Modul und führt zudem neue Themen ein. Wir empfehlen, dass Sie beide Module absolvieren, es ist aber auch möglich, nur das erste Modul für sich alleine zu absolvieren.
Modulinhalt:
Sicherer Softwareentwicklungsprozess (10 Lektionen)
Einführung in die Software-Sicherheit
Der Secure Development Lifecycle
Secure Design Principles
Security Requirements Engineering und Threat Modeling
Security Risk Analysis
Security Testing (6 Lektionen)
Security Testing von Web Applikationen
Security Testing Tools: Static Code Analysis und Schwachstellenscanner
Sichere Softwareentwicklung (12 Lektionen)
Typische, sicherheitsrelevante Programmierfehler und wie man diese ausnutzen kann (Buffer Overflows, Probleme mit Inputvalidierung, Race Conditions,...)
Java Security Libraries für kryptografische Operationen und sichere Kommunikation
Sichere Entwicklung von Webapplikationen und Web Services, mit Verwendung von Java EE als Beispielstechnologie (Authentisierung, Access Control, Verhindern von Schwachstellen,...)
In den Praktika werden praxisbezogene Problemstellungen zu allen wichtigen Hauptthemen der Vorlesung durchgeführt. Die Aufgaben sind ein Mix aus den Bereichen Security Analysis, Security Design, Security Testing und sichere Softwareentwicklung mit Java.
Lehrmittel /Materialien:
Vorlesungsfolien mit zusätzlichen Kommentaren.
Ergänzende Literatur:
Es gibt kein Buch, das die im Modul behandelten Themen komplett abdeckt. Zur Vertiefung einzelner Themen eignen sich folgende Werke:
Gary McGraw. Software Security: Building Security In. Addison-Wesley Longman, ISBN 978-0321356703 (Fokus auf dem sicheren Softwareentwicklungsprozess allgemein)
Neil Daswani, Christoph Kern and Anita Kesavan. Foundations of Security: What every Programmer needs to know. Apress, ISBN 978-1590597842 (Fokus auf Security Design und sichere Implementierung)
Dafydd Stuttard and Marcus Pinto: The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws. Wiley, ISBN 978-1118026472 (Fokus auf Penetration Festing von Web Applikationen)
Brook S.E. Schoenfield. Securing Systems. CRC Press, ISBN 978-1482233971 (Fokus auf Security Analysis und Threat Modeling)
Zulassungs-voraussetzungen:
Das Modul IT-Sicherheit (Grundstudium) muss absolviert worden sein.
Unterrichtssprache:
Englisch
Modulstruktur:
Unterrichtsart
Anzahl Lektionen / Woche
Vorlesung:
14*2
Übung / Praktikum:
14*2
Blockunterricht:
Leistungsnachweise:
Von der Regelung der "Leistungsnachweise während der Unterrichtszeit" kann dann abgewichen werden, wenn der Dozierende dies in einer Modulbereinbarung während der ersten Woche des Studiensemesters schriftlich bekannt gibt.
Bezeichnung
Art
Form
Umfang
Bewertung
Gewichtung
Leistungsnachweise während Unterrichtszeit
Bewertete Praktika
Schriftlich und mündlich
Alle Praktika
Punkte, die zur Punktzahl der Schlussprüfung addiert werden
20%
Semesterendprüfung
Prüfung
Schriftlich
90 Minuten
Note
80%
Bemerkungen
Hinweis
Weitere verfügbare Versionen:
1.0 gültig ab 01.02.2015
,
3.0 gültig ab 01.08.2015
,
4.0 gültig ab 01.08.2017
Kurs: Software and System Security 1 - Praktikum
Nr.
t.BA.IT.SWS1-EN.15HS.P
Bezeichnung
Software and System Security 1 - Praktikum
Hinweis
Für das Stichdatum 29.03.2024 ist kein Modulbeschreibungstext im System verfügbar.
Kurs: Software and System Security 1 - Vorlesung
Nr.
t.BA.IT.SWS1-EN.15HS.V
Bezeichnung
Software and System Security 1 - Vorlesung
Hinweis
Für das Stichdatum 29.03.2024 ist kein Modulbeschreibungstext im System verfügbar.