Das CAS Secure Software Design & Development richtet sich an Fachleute mit einem Software-Engineering-Hintergrund, die

• sich umfassend mit dem Thema Software-Security auseinandersetzen möchten, um fundiertes Wissen und praktische Fähigkeiten in diesem Bereich zu erwerben.
• Softwareprojekte leiten, darin entwickeln und/oder für die Architektur mitverantwortlich sind, und ihre Expertise im Bereich der sicheren Softwareentwicklung vertiefen möchten.
• auch unter zukünftigen sowie bereits bestehenden Produkthaftungsregelungen wettbewerbsfähig bleiben möchten, indem sie sichere und konforme Softwarelösungen entwickeln.

Die Teilnehmenden erwerben sowohl fundierte theoretische Grundlagen als auch praxisorientierte Fähigkeiten in den folgenden Bereichen:

• Erkennen, Verstehen und Vermeiden von Schwachstellen, Defekten und Designfehlern: Mit Fokus auf gängige Sicherheitsrisiken wie den OWASP Top 10.
• Aufbau einer Security-Testing-Strategie: Etablierung eines sinnvollen Feedback-Loops zur fortlaufenden Evaluierung der Sicherheit eines Softwareprojekts bei der Entwicklung und im Betrieb.
• API- und Backend-Sicherheit: Implementierung und Absicherung von Anwendungen mithilfe verschiedener Frameworks und Programmiersprachen (z. B. Spring-Boot, Flask).
• Komplexitätsmanagement in der Softwareentwicklung: Sicherer Umgang mit der zunehmenden Komplexität von Software, ihren Komponenten und der gesamten Lieferkette.
• Threat Modeling: Systematische Identifikation und Priorisierung von Bedrohungen sowie Entwicklung geeigneter Gegenmassnahmen.
• Sichere Softwarearchitektur: Der Aufbau einer robusten Softwarearchitektur für den Betrieb mit einem Fokus auf Defense in Depth Prinzipien
• Authentication und Authorization: Planung und Implementierung sicherer Authentifizierungs- und Autorisierungsmechanismen.

• Einführung in den SDLC und DevSecOps
• Überblick über gängige Schwachstellen (z.B. OWASP Top 10) und ihre Auswirkungen auf Anwendungen
• Sichere Designprinzipien: Least Privilege, Defense in Depth, Fail-Safe Defaults
• Einführung in Bedrohungsmodellierungstechniken wie STRIDE
• Analyse von Praxisbeispielen zur Anwendung von Sicherheitsprinzipien

• Grundlagen sicherer Software- Entwicklung
• Einführung in statische Anwendungssicherheitstests (SAST)
• Einführung in dynamische Anwendungssicherheitstests (DAST)
• Einführung in Penetrationstesttechniken
• Aufbau einer Security Testing Strategie

• Integration von Sicherheitsprüfungen im DevSecOps Prozess
• Best Practices für API-Sicherheit: Authentifizierung, Autorisierung und Schutz vor Bedrohungen
• Aufbau einer Logdaten Infrastruktur
• Sicherheitsstandards und regulatorische Anforderungen (insb. der neuen Richtline zur Produkthaftung)
• Abschlussprojekt mit sicherem Design, Implementierung, Tests und Betrieb

Das Weiterbildungsprogramm umfasst eine Vielzahl an Aktivitäten und abwechslungsreiche Lernsettings, um die Inhalte effektiv zu vermitteln. Die Vormittage sind überwiegend für Input-Lektionen reserviert. Die Nachmittage hingegen stehen im Zeichen angeleiteter Hands-On-Aktivitäten, bei denen die Teilnehmenden das Gelernte direkt praktisch anwenden können. Dabei wird grosser Wert auf eine möglichst breite Auswahl an Programmiersprachen und Frameworks gelegt. So haben die Teilnehmenden die Möglichkeit, mit dem Technologie-Stack zu arbeiten, der ihnen am besten vertraut ist – und gleichzeitig ihr Wissen gezielt zu erweitern.

Der Unterricht findet berufsbegleitend einmal pro Woche jeweils am Dienstag von 09:00 - 17:00 Uhr (8 Lektionen) statt und umfasst 15 Anlasstage (plus ein Reservetag).

Das CAS Secure Software Design & Development dauert rund vier Monate.

Den individuellen Stundenplan erhalten die Studierenden spätestens einen Monat vor Studienbeginn. Die schulfreie Zeit richtet sich nach den Schulferien der Stadt Zürich.

• Dr. Peter Heinrich
• Dr. Stephan Neuhaus
• Dr. Arno Wagner
• Valentin Zahnd

Die Zulassung zum CAS Secure Software Design & Development setzt grundsätzlich einen Hochschulabschluss (Fachhochschule, HTL, HWV, Uni, ETH) voraus. Es können aber auch Praktikerinnen und Praktiker mit vergleichbarer beruflicher Kompetenz zugelassen werden, wenn sich die Befähigung zur Teilnahme aus einem anderen Nachweis ergibt.

Das sichere Beherrschen einer gängigen, idealerweise objektorientierten Programmiersprache wird ausdrücklich vorausgesetzt. Darüber hinaus erwarten wir grundlegende Erfahrungen im Umgang mit Linux-Systemen sowie Kenntnisse in der Versionsverwaltung mit GIT.