Differences
This shows you the differences between two versions of the page.
|
ss:laboratoare:10 [2025/02/20 16:30] 127.0.0.1 external edit |
ss:laboratoare:10 [2025/02/26 00:49] (current) jan.vaduva |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | ===== Laboratorul 10. ===== | + | ====== Laborator 10: Evaluare de Securitate – Audit și Remediere ====== |
| + | |||
| + | ===== Obiective ===== | ||
| + | * Înțelegerea procesului de **audit de securitate** și importanța sa | ||
| + | * Identificarea vulnerabilităților critice în aplicație prin scanări automate și analize manuale | ||
| + | * Aplicarea măsurilor de remediere pentru riscurile identificate | ||
| + | * Integrarea proceselor de audit în dezvoltarea software | ||
| + | |||
| + | ===== Cerințe tehnologice ===== | ||
| + | * **Scanare automată**: OWASP ZAP, Trivy, Grype, Bandit | ||
| + | * **Analiză statică a codului**: SonarQube, Semgrep | ||
| + | * **Analiză manuală**: OWASP Top 10, Common Weakness Enumeration (CWE) | ||
| + | * **Fixare vulnerabilități**: Actualizare dependențe, aplicare patch-uri, hardening | ||
| + | * **CI/CD Security**: Dependabot, GitHub Security Alerts | ||
| + | |||
| + | ===== Funcționalități ===== | ||
| + | |||
| + | ==== 1. Realizarea unui audit de securitate ==== | ||
| + | * Scanarea aplicației pentru vulnerabilități utilizând OWASP ZAP și Trivy | ||
| + | * Analiza codului sursă pentru probleme de securitate cu SonarQube sau Semgrep | ||
| + | * Identificarea componentelor nesigure (dependințe vechi, configurări incorecte) | ||
| + | |||
| + | ==== 2. Clasificarea și prioritizarea riscurilor ==== | ||
| + | * Maparea vulnerabilităților identificate conform **OWASP Top 10** și **CWE** | ||
| + | * Prioritizarea problemelor în funcție de impact și probabilitate | ||
| + | * Crearea unui raport de securitate cu riscurile și recomandările de fixare | ||
| + | |||
| + | ==== 3. Implementarea măsurilor de remediere ==== | ||
| + | * Corectarea codului vulnerabil și a configurațiilor nesigure | ||
| + | * Actualizarea și securizarea dependențelor software | ||
| + | * Aplicarea măsurilor de hardening (principiul **Least Privilege**, protecție API) | ||
| + | |||
| + | ==== 4. Integrarea auditului în procesul de dezvoltare ==== | ||
| + | * Configurarea analizelor automate în pipeline-ul CI/CD | ||
| + | * Monitorizarea continuă a vulnerabilităților cu GitHub Security Alerts | ||
| + | * Crearea unui proces de **Security Review** înainte de lansarea în producție | ||
| + | |||
| + | ===== Evaluare ===== | ||
| + | * Realizarea unui audit de securitate detaliat (30%) | ||
| + | * Clasificarea și prioritizarea vulnerabilităților în funcție de impact (20%) | ||
| + | * Aplicarea măsurilor de remediere și verificarea fixurilor (30%) | ||
| + | * Integrarea auditului în fluxul de dezvoltare (20%) | ||
| + | |||
| + | ===== Resurse suplimentare ===== | ||
| + | * [https://owasp.org/www-project-zap/ OWASP ZAP - Web Security Scanner] | ||
| + | * [https://owasp.org/www-project-top-ten/ OWASP Top 10 Security Risks] | ||
| + | * [https://sonarqube.org SonarQube - Static Code Analysis] | ||
| + | * [https://github.com/aquasecurity/trivy Trivy - Vulnerability Scanner] | ||
| + | * [https://cwe.mitre.org Common Weakness Enumeration (CWE)] | ||
