Bu eğitim, Java ile geliştirilen uygulamaların güvenliğini sağlamak isteyen yazılım geliştiriciler ve teknik liderler için özel olarak tasarlanmıştır. Katılımcılar, yazılım yaşam döngüsünün her aşamasında karşılaşılabilecek güvenlik tehditlerini tanıyacak, modern kriptografi tekniklerinden güvenli kodlama prensiplerine, kimlik doğrulama/yetkilendirme yöntemlerinden güvenli API tasarımına kadar geniş bir yelpazede bilgi ve yetkinlik kazanacaklardır. Eğitim süresince hem teorik bilgiler hem de gerçek dünya senaryoları üzerinden uygulamalı çalışmalar ile güvenli Java uygulamaları geliştirme becerisi kazandırılması hedeflenmektedir. "Bu eğitimin öncesinde JAVA101 - Java Programming , eğitim(ler)inin alınmış olması önerilir." ve "bu eğitim sonrasında JAVA102 - Effective Java Programming eğitim(ler)inin alınması önerilir."
•Secure by Design yaklaşımı (Tasarım aşamasında güvenlik)
•Tehdit modelleme (Threat Modeling)
•OWASP Top 10 güvenlik açıkları (Injection, XSS, CSRF vb.)
•Güvenlik katmanları: uygulama, veri, iletişim
•Asimetrik ve simetrik şifreleme farkları
•RSA, AES, eliptik eğri kriptografisi
•Dijital imzalar (Digital Signatures)
•Sertifikalar, PKI yapısı, keystore ve truststore
•12 temel güvenli kodlama kuralı (örnek: input validation, output encoding, prepared statement kullanımı)
•Java kodlama hataları ve savunma teknikleri
•Güvenlik kütüphanelerinin kullanımı
- •Apache Shiro
- •Spring Security
•OAuth2, OpenID Connect, JWT
•Rol tabanlı ve politika tabanlı erişim kontrolü
•Oturum yönetimi, token süresi, refresh token
•Spring Security veya Java EE güvenlik modülleri
•HTTPS, TLS yapılandırması
•HSTS, sertifika sabitleme (certificate pinning), mutual TLS
•Güvenli header’lar (CSP, X-Frame-Options vb.)
•SSL
•Hashleme (bcrypt, Argon2)
•Salt, pepper, key stretching
•Hassas alanların şifrelenmesi
•Veri güvenliği düzenlemeleri
- •GDPR
- •HIPAA
•API güvenliği: rate limiting, input validation
•API gateway ve güvenlik filtreleri
•Servisler arası kimlik doğrulama, mutual TLS
•Mikroservis mimarisinde güvenlik
•Güvenli loglama (hassas veri yazmama)
•Denetim kayıtları (audit trail)
•Denetim kayıtları (audit trail) Saldırı tespiti ve uyarı mekanizmaları
•İhlal müdahale planı ve adli analiz hazırlığı
•Statik kod analizi
- •Statik kod analizi
- •SpotBugs
•Dinamik tarama ve penetrasyon testi
•Bağımlılık kontrolü
- •OWASP Dependency-Check
•Güvenli kod inceleme ve tehdit avcılığı
•Statik kod analizi (SonarQube, SpotBugs vb.)
•Dinamik tarama ve penetrasyon testi
•Dinamik tarama ve penetrasyon testi
•Güvenli kod inceleme ve tehdit avcılığı