Estoy tratando de establecer un grupo de seguridad de aplicaciones dentro de una organización y aunque hay una gran cantidad de cursos para evaluadores de penetración, no encuentro una cantidad igual de cursos de capacitación para desarrolladores / evaluadores de control de calidad
El equipo con el que trabajo es muy capaz en lo que respecta a sus funciones principales (desarrollo, pruebas, automatización de pruebas) pero tiene una exposición muy limitada a la seguridad de las aplicaciones: un conocimiento muy básico del Top 10 de OWASP
Busqué cursos en Internet para ayudarles a desarrollar sus conocimientos, y hasta ahora he encontrado 2-3 cursos de SANS y un paquete de capacitación de Aspect Security. No he probado ninguno de estos aún, ya que quería obtener algunas opiniones antes de comprometernos
Los cursos ideales deberían contener:
- Una introducción, idealmente basada en el Top 10 de OWASP
- Técnicas defensivas, idealmente presentadas como un marco (por ejemplo, OWASP ESAPI)
- Pruebas de seguridad, orientadas a los evaluadores de control de calidad a los que les gusta automatizar las pruebas de penetración manual vs.
- Aplicación de WAFs (para parches virtuales)
¿Conoces algún paquete de cursos que pueda proporcionarme este contenido o debo buscar cursos individuales de diferentes proveedores? Y si es así, ¿puede proporcionarme los nombres de los proveedores de capacitación que ha utilizado y con los que está satisfecho?