介绍
前几天我参加了安全营2022全国锦标赛!
我在技术学院的时候就知道安全营的存在,但当时我认为这与我无关,因为这是一个强大的人聚集的活动。我之所以决定参加安全营是因为我希望能够在 Web 开发中生产出更高质量的产品。大学的时候开始做web开发,现在已经可以自己实现一些功能了,下次想重点关注性能等质量部分。考虑到所有这些挑战,我认为安全营将是一个了解安全的好机会,这会导致产品质量,所以我决定申请。
什么是安全营?
安全营是信息技术振兴机构(IPA)的项目之一,旨在发现和培养能够成为日本未来先进IT人才的优秀人才。
当今世界,信息安全威胁呈上升趋势。
该项目为对安全领域感兴趣并希望将来在该领域发挥积极作用的年轻人提供获得先进信息安全技术的机会。我们还提供提高道德、法律合规意识、安全意识、专业意识和自主学习意识的机会。
该项目自2004年启动以来,2021年安全营共培养了989名IT与信息安全人才,前景广阔。被安防行业和各界高度评价为有利于信息化高级人才发展的盛会。
引用:https://www.ipa.go.jp/jinzai/camp/2022/zenkoku2022_about.html提交主题
提交的作业不仅包括研究和总结的作业,还包括与过去的经历和兴趣相关的问题。幸运的是,由于我现在是一名求职者,所以我总结了我过去的经历和感兴趣的领域,所以我能够轻松回答,但这是一个深入挖掘的好机会。
此外,本文将申请内容和答案单独汇总。
通过了筛选
预挑战
- 创建和学习网络浏览器
我们在讲师准备的名为 vulbr 的浏览器中添加了反射 h2 标签等功能,该浏览器可以渲染一些 HTML/CSS 并执行 JavaScript。
- 实用的Linux容器执行基础设施安全
根据讲师准备的博客,我们在使用 Docker 和 Kubernetes 时学习了一个概述。
专题讲座
- 创建和学习网络浏览器
- 针对微服务/分布式单体架构的攻击方法
- 策略即代码简介
- 保护现代开发环境和保护 CI/CD 管道
- 软件供应链安全的未来
- 实用的Linux容器执行基础设施安全
创建和学习,网络浏览器
Web 浏览器是一种熟悉的存在,它将我们连接到 Internet,但由于它们是太大的产品,所以很难理解整个画面。本课程的目标是加深您对 HTML、CSS 和 JavaScript 的理解,并通过阅读规范和自己创建一个简单的浏览器来更多地了解浏览器在 Web 安全中的作用。
引用:https://www.ipa.go.jp/jinzai/camp/2022/zenkoku2022_program_list.html#list_b1微服务/分布式单体架构的攻击技术
近年来,随着云服务和微服务架构的普及,它们的攻击方式也得到了研究,成为安全工程师强烈关注的领域之一。本讲座是基于主动渗透测试人员在工作等中获得的知识而创建的,旨在以动手的形式学习和掌握针对基于微服务架构构建的云服务和Web服务的现实攻击方法。
引用:https://www.ipa.go.jp/jinzai/camp/2022/zenkoku2022_program_list.html#list_b1策略即代码简介
在信息安全领域,近年来也有越来越多的趋势是利用软件的力量来代替人类的工作。其中之一是“政策即代码”的思想,其中根据组织或团队制定的政策做出决策,并以机械方式对政策合规性的检查进行编码。在本次讲座中,我们将通过实际示例来介绍什么是“Policy as Code”以及它可以具体做什么。此外,我想简要介绍一下在 Policy as Code 领域引起关注的 Open Policy Agent (OPA) 及其描述语言 Rego。
引用:https://www.ipa.go.jp/jinzai/camp/2022/zenkoku2022_program_list.html#list_b1保护现代开发环境并保护 CI/CD 管道
在过去十年中,软件开发环境发生了巨大变化。基础设施越来越多地基于云,在测试和部署软件时通过 CI/CD(持续集成/持续交付)管道进行部署。此外,假设远程工作,开发是在不依赖外围防御的零信任环境中在内部 IT 基础架构上进行的。
在本讲的前半部分,我们将讨论哪些方法可以用来攻击和保护现代生产环境,主要从使用恶意软件的客户端攻击和供应链攻击的角度来讨论。 -on会议将举行。
下半年,我们计划在学习了攻击方法和对策后,通过实践来解释剩余的问题,以保护 CI/CD 管道,这很少作为安全措施重点增加。
引用:https://www.ipa.go.jp/jinzai/camp/2022/zenkoku2022_program_list.html#list_b1软件供应链安全的未来
现代软件开发和操作过程基于许多人、组织和软件资产。很多有用的 OSS 包可以通过一两个命令获得,一个 YAML 文件可以持续执行测试和部署,而运行有用软件的环境是容器镜像,我想体验这种体验的机会越来越多。
然而,在这个快乐的时代,“参与创建和交付一个软件的过程中的人数”也呈爆炸式增长。这种趋势导致对软件供应链安全的兴趣激增。在本讲座中,我们将结合专业讲座“现代开发环境的安全性和保护 CI/CD 管道”中涵盖的内容来探讨软件供应链安全的未来。
引用:https://www.ipa.go.jp/jinzai/camp/2022/zenkoku2022_program_list.html#list_b1实用的 Linux 容器执行基础设施安全
随着基于容器的虚拟化技术和容器编排工具的出现,包括 Web 应用程序在内的各种系统在容器执行平台上运行已变得司空见惯。容器是沙盒技术之一,使用它开发和操作是安全的,有可能做到。
在本次讲座中,为了理解这些安全问题,我们将学习针对容器及其执行基础设施的攻击方法以及针对它们的对策。此外,通过从头开始创建容器,您将了解支持容器的基本技术,并获得容器执行基础的深度学习基础。
引用:https://www.ipa.go.jp/jinzai/camp/2022/zenkoku2022_program_list.html#list_b1团队合作
在小组工作中,我们讨论了安全营结束后我们希望作为一个小组进行什么样的活动。然后,我组决定每周开一次进度报告会,持续半年,但是因为小组工作是在晚上做的,所以有一个不好的举动,上周设定的目标达到了,如果我不做的话,本人承担连带责任,增肌训练等处罚。
在最后
开发web后端时,框架会在一定程度上采取措施,所以我认为安全知识就足够了,但是通过安全营的讲座,即使是后端开发人员也可以将其理解为知识。我意识到这很重要没有充分考虑会出现什么样的漏洞,应该采取什么样的对策。
如果我没有参加安全营,我永远都不会接触到它,所以我要感谢所有的讲师和所有参与安全营的人。
原创声明:本文系作者授权爱码网发表,未经许可,不得转载;
原文地址:https://www.likecs.com/show-308623266.html