SecureCodingDojo 开源项目教程

1. 项目介绍

SecureCodingDojo 是一个用于提供安全编码培训的平台。它自带一个易受攻击的训练应用程序（Insecure Inc 网站），并且可以与其他训练应用程序结合使用。该平台的主要特点是其可扩展性和与常用开发协作平台 Slack 的集成。训练门户可以轻松地在云中设置，并且提供了 AWS Elastic Beanstalk 的设置说明。

2. 项目快速启动

安装 Docker

确保你已经安装了最新版本的 Docker。

克隆仓库

git clone https://github.com/OWASP/SecureCodingDojo.git

进入项目目录

cd SecureCodingDojo

配置环境变量

在 *nix/mac 系统上，修改 .bash_profile 文件：

export DATA_DIR="/YOUR_DATA_DIR"

在 Mac 上，确保 Docker 有权访问该目录：

• 打开 Docker > Preferences > File Sharing
• 添加 /YOUR_DATA_DIR

重启终端

source ~/.bash_profile

启动项目

docker-compose up

3. 应用案例和最佳实践

应用案例

SecureCodingDojo 主要用于开发人员的安全编码培训。它通过集成 Slack 进行身份验证，允许根据开发团队对参与者进行分组，并允许团队跟踪进度和相互竞争。每个课程都构建为攻击/防御对，开发人员可以通过执行攻击来观察软件弱点，并在解决挑战后学习相关的软件防御（代码块）。

最佳实践

• 集成 Slack：使用 Slack 进行身份验证和团队管理。
• 分组培训：根据开发团队对参与者进行分组，以便更好地跟踪和比较团队进度。
• 持续更新：定期更新课程内容，确保与最新的安全编码标准和最佳实践保持一致。

4. 典型生态项目

OWASP Top 10

SecureCodingDojo 的预定义课程基于 MITRE 最危险的软件错误（也称为 SANS 25），这些错误与 OWASP Top 10 密切相关。通过使用 SecureCodingDojo，开发人员可以更好地理解和防范这些常见的安全漏洞。

AWS Elastic Beanstalk

SecureCodingDojo 提供了在 AWS Elastic Beanstalk 上部署的详细说明，使得在云环境中快速启动和运行平台变得简单。

Docker

通过 Docker 容器化技术，SecureCodingDojo 可以轻松地在不同的环境中部署和运行，确保一致性和可移植性。

通过以上模块的介绍和实践，开发人员可以快速上手并充分利用 SecureCodingDojo 进行安全编码培训。