Zest Application Professionals Agile Training & Workshops

Transcriptie

1 De Agile Workshops en trainingen van Zest Application Professionals geven u de noodzakelijke informatie om Agile in uw organisatie te introduceren of te optimaliseren. U doet handson ervaring op en leert omgaan met lastige praktijksituaties. Zest Application Professionals Agile Training & Workshops Building your agile business. Agile Awareness Agile Foundation Agile Requirements Applicatie Security

2 Inhoudsopgave Agile Awareness... 2 Inleiding Agile in a Day Workshop... 2 Agile Foundation... 3 Agile Foundation Certificaat... 3 Agile Requirements... 4 Inleiding Requirements... 4 Training: Requirements Essentials... 5 Training: Agile Requirements in Scrum... 5 Training: Requirementsanalyse... 6 IREB-certificering... 7 Examentraining: CPRE-foundation... 7 Training: Requirements engineering (IREB)... 8 Inleiding Ethical Hacking... 9 Ethical Hacking Workshop... 9 Indeling... 9 Awareness (vast onderdeel)... 9 SQL Injection... 9 Cross-Site Scripting... 9 Cross-Site Request Forgery... 9 Sessiemanagement... 9 Autorisatie Business Logic Defense in Depth Applicatie Security Assessment...11 Introductie...11 Methodiek...11 Oriëntatiefase Onderzoeksfase Code-review Penetratietest Rapportagefase Kwetsbaarhedenformulier

3 Agile Awareness Inleiding Agile in a Day Workshop Door de vele succesverhalen in Nederland en daar buiten is Agile Scrum met name in de IT-industrie aan een opmars bezig en wordt door steeds meer organisaties geadopteerd als favoriet raamwerk voor software ontwikkeling en beheer. Wilt u in één dagdeel op de hoogte worden gebracht van de Agile Scrum basiskennis? Wilt u nu ook de vele voordelen van Agile Scrum gaan benutten? U wilt immers ook uw softwareprojecten op tijd en binnen budget opleveren. Uw belangrijkste functionaliteiten als eerste realiseren zodat u of uw opdrachtgever daar nog tijdens het project de vruchten van plukt? Deze actieve en interactieve workshop geeft een eerste introductie in de Agile Scrum werkwijze en wordt geheel uitgevoerd volgens de Agile principes. Een praktische Agile Workshop, waarin u en uw gehele team kennis zult maken met Agile-concepten, de voordelen van deze methodiek, maar ook de valkuilen. De vele jaren van projectervaring staan garant voor een praktische opzet, waarin hands-on toegepast zal worden. Grotere organisatie die met Scrum willen werken, willen vaak meer zekerheden inbouwen. Voor hen kunnen wij Agile Scrum combineren met Prince2. Er lijkt een tegenstelling te zijn tussen de sterk georganiseerde, formelere methodiek van Prince2 en de meer flexibele Scrum methodiek. De principes versterken elkaar echter. WAT KOMT IN DEZE AGILE-IN-EEN-DAG WORKSHOP AAN DE ORDE: 1. Een begrip van Agile concepten, belangrijkste leerpunten en de rollen en verantwoordelijkheden van de deelnemers aan een Agile project. 2. Hands-on ervaring van de belangrijkste voordelen van Agile, zoals het bepalen van een project scope vanuit high level requirements, snel en regelmatig leveren, en op welke wijze het vertrouwen tussen Business en IT wordt opgebouwd. 3. Het vermogen om Agile-valkuilen te identificeren en hoe hiermee om te gaan ervaring van vele Agile projecten wordt hierin meegenomen. WORKSHOP DETAILS: Doelgroep: Deze workshop is zowel bestemd voor zakelijke gebruikers als ook voor ITstaff (ontwikkelaars, project-leiders, applicatie managers & IT Managers). Materiaal: Neem uw eigen laptop mee naar deze workshop 2

4 Agile Foundation Agile Foundation Certificaat Open rooster en in-company Doel: Behalen van het certificaat 'Agile Foundation' van het Agile Consortium Doelgroep: Iedereen die zich wil verdiepen in het agile gedachtengoed Duur: 1 dag (incl. examen doen) Deelnemers: Maximaal 10 Inhoud Agile softwareontwikkeling is populair. Het aantal organisaties dat agile heeft geadopteerd of daarmee bezig is, stijgt explosief. Agile werken is dan ook veelbelovend: kortere time-to-market, wijzigingen mogelijk, hogere softwarekwaliteit. Het Agile Consortium heeft een certificeringsprogramma opgezet om organisaties en haar medewerkers te helpen bij de adoptie van agile. In de praktijk missen agile initiatieven nog te vaak hun doel door onvoldoende inzicht, misverstanden en gebrek aan ervaring. Met deze 1-daagse training (incl. examen) en het Agile Foundation certificaat verzekert u zichzelf aantoonbaar van gedegen kennis van het agile gedachtengoed en de bijbehorende practices. Het examen dat aan het eind van de training wordt afgenomen is een Engelstalig, gesloten-boek examen met 60 meerkeuze vragen. De volgende onderwerpen komen daarbij ondermeer aan bod: Prioriteren en Plannen in een agile project De eigenschappen van een effectief agile team Het ontwikkelen en opleveren van het eindproduct De kenmerken van agile leiderschap De rol en betrokkenheid van de business 3

5 Agile Requirements Inleiding Requirements Requirements vormen één van de belangrijkste kritieke succesfactoren voor softwareontwikkelprojecten. Internationale onderzoeken tonen dat keer op keer aan. Alle reden dus om uw medewerkers te professionaliseren in het opstellen van complete, heldere en eenduidige requirements. Het requirements vakgebied wordt niet zelden onderschat. Het noteren van de eisen en wensen van belanghebbenden lijkt misschien eenvoudig. Vaak blijkt pas tijdens de realisatie dat er requirements ontbreken of dat ze niet eenduidig waren geformuleerd. Hoe later in het ontwikkeltraject dit ontdekt wordt hoe hoger de herstelkosten zijn. De requirements trainingen van Zest Application Professionals geven u de handvatten die nodig zijn om uw requirementsproces te verbeteren. U doet hands-on ervaring op en leert omgaan met lastige praktijksituaties. Zest Application Professionals geeft de volgende trainingen op het gebied van requirements: Training: Requirements Essentials Training: Agile Requirements in Scrum Training: Requirementsanalyse Training: CPRE Foundation Training: Requirements Engineering -1 dag -1 dag -3 dagen -1 dag -1 dag De docenten van Zest Application Professionals zijn requirements-specialisten met ruim 15 jaar hands-on ervaring. 4

6 Training: Requirements Essentials Alleen in-company Doel: Vliegende start voor medewerkers die nieuw zijn in het werkveld van requirements Doelgroep: ICT'ers en domeindeskundigen die zich willen verdiepen in requirements Duur: 1 dag (overdag of middag + avond) Deelnemers: Maximaal 10 Inhoud Tijdens de training wordt de kern van het requirements vakgebied helder uiteengezet en ervaart u wat het werk van een requirementsanalist inhoudt. Om de stof levendig te houden geeft de docent veel praktijkvoorbeelden en maakt u groepsopdrachten en individuele oefeningen. Onder meer de volgende onderwerpen komen aan de orde: De belanghebbenden en het belang van requirements Requirements in allerlei soorten en maten Het achterhalen van de juiste requirements Het eenduidig vastleggen van de requirements Het requirementsproces Als u zelf requirements wilt gaan opstellen en daarbij goed beslagen ten ijs wilt komen, is dit de training die u zoekt. Training: Agile Requirements in Scrum Open rooster en in-company Doel: Effectief met requirements omgaan in Scrum-projecten Doelgroep: Business analisten, informatieanalisten en product owners Duur: 1 dag Deelnemers: Maximaal 10 Inhoud Agile softwareontwikkeling heeft ingrijpende consequenties voor de wijze waarop projecten met requirements omgaan. De focus verschuift bijvoorbeeld naar just in time requirements en naar mondelinge communicatie. De rol van de business/informatie analist verandert aanzienlijk. In deze interactieve training leert u hoe agile en Scrum met requirements omgaan en welke voordelen dat heeft. Ook komen de producten en technieken die scrum aanreikt uitgebreid aan bod. De training behandelt onder meer de volgende onderwerpen: 5

7 Just in time requirements De toegevoegde waarde van de business/informatie analist Specialisten of generalisten in multi-disciplinair scrumteam De rol van de Product owner Requirements 'sprint-ready' maken Product backlog, user stories en planning poker Training: Requirementsanalyse Alleen in-company Doel: Zelfstandig effectieve requirementsanalyses kunnen uitvoeren Doelgroep: Business analisten, informatieanalisten en functioneel ontwerpers Duur: 3 dagen Deelnemers: Maximaal 10 Inhoud In deze 3-daagse training leert u zich staande houden in de weerbarstige requirements praktijk. De vele facetten die komen kijken bij het uitvoeren van een gedegen requirementsanalyse passeren de revue. Daarbij wordt nadrukkelijk aandacht besteed aan veel voorkomende fouten en aan praktijksituaties waarin het lastig opereren is voor requirementsanalisten. Kortom: deze training is gericht op het toepassen van het requirementsvak in de praktijk. U krijgt ondermeer antwoord op de volgende vragen: Hoe krijg je de requirements juist en volledig boven water? Hoe krijg je de belanghebbenden op één lijn? Hoe ga je om met wijzigende requirements? Hoe achterhaal je de niet-functionele requirements? Hoe maak je de requirements SMART (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden)? Als u zich verder wilt professionaliseren in het uitvoeren van requirementsanalyses, biedt deze training uitkomst. 6

8 IREB-certificering Van medewerkers in de ICT wordt vaak gevraagd om hun vakmanschap aan te tonen met certificaten. Het heeft echter lange tijd ontbroken aan een certificeringsprogramma voor het requirements vakgebied. De IREB (International Requirements Engineering Board) heeft daar inmiddels verandering in gebracht. Het certificeringsprogramma 'Certified Professional of Requirements Engineering' (CPRE) brengt ook voor rollen als requirements engineer, business analist, informatieanalist en functioneel ontwerper certificering binnen handbereik. Daarvoor moet je uiteraard wel het vak beheersen. Het examen is namelijk best pittig. Met behulp van meerkeuzenvragen wordt getoetst of je de theorie kunt toepassen in de praktijk. Alleen theorie uit je hoofd leren, is onvoldoende om het examen te halen. Om uzelf optimaal voor te bereiden op het examen biedt de Reaco Academy de volgende twee mogelijkheden: Examentraining: Certified Professional of Requirements Engineering (1 dag) Training: Requirements Engineering (3 dagen) De docent van deze trainingen is uiteraard zelf gecertificeerd en kan zodoende veel handige tips over het examen zelf geven. Examentraining: CPRE-foundation Open rooster en in-company Doel: Behalen van de titel 'IREB-Certified Professional of Requirements Engineering' Doelgroep: Ervaren medewerkers in het requirements werkveld Duur: 1 dag Deelnemers: Maximaal 10 Inhoud Deze training bereidt je voor op het examen van IREB (International Requirements Engineering Board). Naast bestudering van 'Handboek Requirements - Brug tussen business en ICT' is deze examentraining de manier om jezelf klaar te stomen voor het examen. In deze interactieve training wordt vooral aandacht besteed aan de lastige examenonderdelen en aan de wijze van vraagstelling. Tijdens de training komen de volgende onderwerpen aan bod: Examen De belangrijkste en moeilijke examenonderdelen Wat je aanvullend op 'Handboek Requirements' nog moet weten De opzet van het examen Tips & trucs voor het beantwoorden van de examenvragen Heel veel oefenvragen Het examen is best pittig maar goed te doen voor ervaren analisten die het vak begrijpen. Er wordt getoetst of je het vak echt begrijpt en of je de theorie kunt toepassen. Hiertoe worden veel inzicht vragen gesteld en korte casussen gebruikt. Alleen theorie uit je hoofd leren is dus onvoldoende. 7

9 Training: Requirements engineering (IREB) Alleen in-company Doel: Behalen van de titel 'IREB-certified Professional of Requirements Engineering' Doelgroep: Requirements engineers, informatie analisten, business analisten Duur: 3 dagen Deelnemers: Maximaal 10 Inhoud In drie dagen wordt de volledige stof van het foundation examen behandeld. Het Nederlandstalige 'Handboek Requirements Brug tussen business en ICT' dient hierbij als leidraad. Aangezien het geen theoretisch examen betreft, besteedt de training veel aandacht aan de transformatie naar de praktijk. De training bevat daarom veel voorbeelden, groepsopdrachten, praktijkcases, reflectie, individuele oefeningen en zelfs een quiz. Met deze intensieve training bereidt u zich optimaal voor op het examen. U ontvangt tips & trucs voor het beantwoorden van de multiple choice examenvragen. Vanzelfsprekend maakt een groot aantal oefenvragen onderdeel uit van de training. Een greep uit de onderwerpen die de examenkandidaten moeten beheersen: Visie en scope Elicitatietechnieken Eenduidig en volledig specificeren Requirements modellen Requirements Management 8

10 Inleiding Ethical Hacking Het is wetenschappelijk bewezen dat je informatie het beste opslaat wanneer je zelf actief deelneemt. Dat aspect passen we, waar het kan, toe in onze opleidingen. Door de cursisten zelf te laten ervaren wat het hacken van systemen inhoudt en wat de gevolgen hiervan zijn brengen we kennis het beste over. Ethical Hacking Workshop Ethical Hacking Workshop is een training waarin de cursisten kennis maken met de risico s van webapplicaties door zelf een applicatie te hacken. De training wordt op maat samengesteld en is gericht op een specifieke doelgroep, bijvoorbeeld: Management Projectleiders Ontwerpers Ontwikkelaars Testers Beheerders In de training zijn elementen verwerkt die betrekking hebben op het vakgebied van de doelgroep. De training kan worden gegeven aan een groep variërend van 8 tot en met 16 man. Zodoende kan opgedane kennis direct toegepast worden in de praktijk. Indeling De training is opgebouwd uit modulaire labs. Ieder lab duurt ongeveer 2 uur. Bij de start van een lab krijgt de cursist door middel van een presentatie een introductie van het specifieke onderwerp. Daarna gaat de cursist zelf, of in koppels van twee, aan de gang. Aan de hand van een opdracht gaan de cursisten met een speciaal ontwikkelde kwetsbare omgeving aan de slag. Op basis van de behoefte van de klant en de betreffende doelgroep wordt de indeling van de training samengesteld. Hieronder staan een aantal beschikbare modules beschreven: Awareness (vast onderdeel) Wat gebeurt er in de wereld en waarom wordt deze cursus gegeven? Welke risico's loopt het bedrijf en wat kan de doelgroep er tegen doen? Demo's, met eventueel praktijkvoorbeelden van het bedrijf zelf, worden gebruikt om awareness te kweken. SQL Injection SOL Injection is één van de meest voorkomende injectie-aanvallen op het Internet. De impact van een succesvolle aanval is groot. Hoe werkt SOL injection? Hoe kun je het constateren? En natuurlijk: hoe kun je het verhelpen en voorkomen? Cross-Site Scripting Cross-Site Scripting, afgekort XSS, is een aanval op de gebruiker doordat er een fout in de webapplicatie van het bedrijf aanwezig is. Dit type kwetsbaarheid heeft grote gevolgen. Het wordt vaak misbruikt bij phishing naar gevoelige informatie zoals inloggegevens. Cross-Site Request Forgery Cross-Site Request Forgery, afgekort CSRF, is een aanval op een ingelogde gebruiker door een malafide verzoek door de browser uit te laten voeren zonder dat de gebruiker dit doorheeft. Hiermee kan een kwaadwillende een verzoek uitvoeren waarbij de applicatie denkt dat het een valide verzoek van de gebruiker is. Sessiemanagement Het protocol voor webapplicaties maakt gebruik van sessiegegevens om bij te houden of de gebruiker al eens op de site is geweest. Denk bijvoorbeeld aan het bijhouden van een 9

11 ingelogde klant. Welke problemen kunnen er optreden wanneer sessies niet goed worden beheerd? Hoe kun je dat voorkomen? Autorisatie Autorisatie zorgt er voor dat informatie en functionaliteit alleen beschikbaar is voor diegene die daartoe gerechtigd zijn. Hoe gaat dat in zijn werk? Op basis van de 3 basiselementen: gebruikers, functies en data komen de gevaren en de mogelijkheden aan bod. Business Logic Applicaties zijn vaak gelaagd opgebouwd. Ze maken bijvoorbeeld gebruik van andere systemen op het eigen netwerk of over het Internet. Dit kan bijvoorbeeld bereikt worden door gebruik te maken van Web Services. Welke gevaren, aanvallen en problemen kunnen ontstaan met het gebruik van een servicegeoriënteerde omgeving? Defense in Depth De configuratie en het patchmanagement van de server is van cruciaal belang voor een veilige (web)applicatie. Met behulp van kwetsbaarheden in de onderliggende software kan toegang worden verkregen tot de applicatie met grote gevolgen. Tijdens de verschillende labs wordt direct ondersteuning geboden. De cursisten worden geholpen door hints en directe aanwijzingen van de trainers. Aan het einde van ieder lab wordt samengevat wat de belangrijkste risico's zijn en de voornaamste tegenmaatregelen. 10

12 Applicatie Security Assessment Introductie Geen enkele organisatie wil via het Internet aangevallen worden. Helaas zijn dergelijke aanvallen aan de orde van de dag. Door een beveiligingsonderzoek uit te voeren is het mogelijk om te bepalen of een systeem onveilig is. Dit onderzoek kan zowel infrastructureel als applicatief worden uitgevoerd. Dit kun je echter bij een applicatief onderzoek niet los van elkaar zien. De infrastructuur biedt namelijk altijd ondersteuning voor de applicatie(s) die daarop draait. Een technisch onderzoek geeft duidelijkheid over de staat van beveiliging van het betreffende object. Zest Application Professionals biedt hiervoor een Applicatie Security Assessment. Het onderzoek wordt tot op zeer gedetailleerd niveau uitgevoerd en biedt inzicht in eventuele kwetsbaarheden van het systeem. Het eindproduct is een gedetailleerde rapportage met bevindingen, conclusies en aanbevelingen. Zest Application Professionals onderscheidt zich door kwaliteit te leveren en ook serieus te ondersteunen bij het oplossen van de kwetsbaarheden. Methodiek Voor de aanpak van een Applicatie Security Assessment worden de volgende werkwijzen als referentie gebruikt: A Web Application Hacker's Methodology, by Marcus Pinto en Dafydd Stuttard Penetration Testing Methodology, referenced by GWAPT Het onderzoek wordt in drie fasen uitgevoerd: Oriëntatiefase Onderzoeksfase Rapportagefase In de volgende paragrafen wordt iedere fase kort uitgelegd. Oriëntatiefase Het doel van de oriëntatiefase is een eerste beeld te vormen van het te onderzoeken object. Hiervoor wordt een intake met de klant gedaan. In samenspraak met de klant wordt daarin de scope afgesproken. Daarnaast worden afspraken gemaakt over welke personen benaderd kunnen worden ter ondersteuning tijdens het onderzoek. De onderzoeksvragen worden vastgesteld en er wordt bepaald waar volgens de klant het grootste risico ligt van het betreffende object. Natuurlijk wordt duidelijk overeengekomen hoe, naar wie en op welke manier er gerapporteerd wordt. Verder wordt in deze fase het te onderzoeken object theoretisch bestudeerd op basis van requirements, ontwerpen, infrastructuur en interviews. Onderzoeksfase De onderzoeksfase bestaat uit twee onderdelen, namelijk: 1. Een analyse van de bron code, genaamd een code-review. 2. Een penetratietest. In deze test wordt vanuit het oogpunt van een kwaadwillende onderzocht of de applicatie meer functionaliteit biedt dan bedoeld. Kan er bijvoorbeeld worden ingelogd zonder wachtwoord. Deze onderdelen hebben een sterke relatie met elkaar. Bevindingen tijdens de codereview bieden uitgangsposities tijdens de penetratietest en andersom. Code-review Bij de code-review wordt de beschikbaar gestelde broncode systematisch onderzocht op beveiligingstechnische tekortkomingen. Het onderzoek vindt deels plaats met behulp van speciaal daarvoor beschikbare tools en voor het grootste deel door handmatige inspectie van de broncode. Bij dit laatste gaat de aandacht vooral uit naar dat deel van de broncode waar gebruikersinvoer wordt afgehandeld. 11

13 Penetratietest De applicatie wordt op minimaal de volgende kwetsbaarheden, gegroepeerd volgens de OWASP Top 10 uit 2010, getest: 1. Injecties (bijvoorbeeld: SQL, XML, Command, LDAP etc.) 2. Cross-Site Scripting (XSS) 3. Slechte authenticatie en onveilig sessiemanagement 4. Onveilig direct gebruiken van objecten 5. Cross-Site Request Forgery (CSRF) 6. Onveilige configuratie 7. Onveilige versleuteling 8. Schijnveiligheid door verborgen URL's 9. Onveilige communicatie 10. Onvoldoende validatie van redirects en forwards. Rapportagefase In deze fase wordt er gerapporteerd wat er in de onderzoeksfase aan kwetsbaarheden gevonden is. Om dit op een eenduidige manier te doen is er door Zest Application Professionals standaard kwetsbaarhedenformulier ontwikkeld. Kwetsbaarhedenformulier Het risico wordt gekwantificeerd aangegeven met een waarde tussen 0 en 100. Waarbij 0 een notitie en 100 een kritieke fout betreft. Elke kwetsbaarheid wordt onderverdeeld in categorieën met behulp van acroniemen DREAD en STRIDE. In begrijpelijke taal worden het probleem en het risico concreet uitgelegd. Gevolgd door reverenties en aangevuld met concrete aanbevelingen om het risico weg te nemen. Tot slot wordt, wanneer dat relevant is, tot op codeniveau aangegeven waar het probleem zich precies bevindt en welke mogelijkheden er zijn voor een betere implementatie. Zest Application Professionals BV Floridalaan 4b 3404 WV IJsselstein Postbus AG IJsselstein KvK T +31 (0) F +31 (0) E info@zestgroup.nl I Zest Application Professionals is onderdeel van de Zestgroup 12