V rámci projektu realizovaného jako součást univerzitního předmětu Learning Design (Design informačních služeb) se ukazuje, že formativní evaluace, popsaná v článku Learning Design 5: Evaluace školení jako formativní evaluace workshopu, vedla ke třem definovaným výstupům. Tyto vzdělávací objekty reflektují rozdílné potřeby cílové skupiny a významně přispívají ke vzdělávání a podpoře kybernetické bezpečnosti v širším kontextu.
Prvním výstupem je několikahodinové školení zaměstnanců v oblasti Bezpečný vývoj software. Tento vzdělávací objekt byl vytvořen jako praktické a časově nenáročné řešení, které umožňuje rychlé předání klíčových informací širší skupině zaměstnanců.
Druhým výstupem je šestitýdenní workshop Bezpečný vývoj software, který představuje detailnější a interaktivnější vzdělávací program. Je zaměřen na menší skupinu specialistů, kteří se chtějí hlouběji ponořit do problematiky a aplikovat naučené principy v praxi.
Třetím výstupem jsou české překlady pro OWASP SAMM, které se také díky projektu stanou součástí mezinárodní platformy OWASP SAMM (Software Assurance Maturity Model). Čeština se tak připojí k již dostupným jazykovým mutacím, jako je angličtina, španělština, ruština, čínština, němčina nebo francouzština, které jsou v rámci projektu zastoupeny v různé míře. Překlady vznikají jako odpověď na výzvu „Help us Translate!“ prostřednictvím platformy Crowdin (viz OWASP SAMM Contributing) a významně podpoří dostupnost a srozumitelnost tohoto mezinárodně uznávaného modelu i pro české odborníky.
Tento trojí přístup nejen ukazuje efektivitu provedené formativní evaluace při ladění obsahu a struktury vzdělávacích formátů, ale také podtrhuje její širší přínos. Projekt nejenže adresuje vzdělávací potřeby organizací a jejich zaměstnanců, ale také přispívá k posílení mezinárodních snah o standardizaci a šíření kybernetické bezpečnosti.
Školení Bezpečný vývoj software
- Školení bezpecny_vyvoj_software_mu_skoleni.xlsx: V tomto Excelovém dokumentu je několik záložek: Rámec, Bezpečný vývoj software, Správa, Design, Implementace, Ověřování, Provoz. Obsah byl přenesen do platformy pro školení.
Školení zaměřené na Bezpečný vývoj software je plánováno ke spuštění v lednu či únoru 2025. Výstupy z proběhlé evaluace budou v následujících týdnech diskutovány s managementem organizace, aby byly případné úpravy obsahu a formy sladěny s očekávanými náklady. Organizace klade důraz na efektivitu a nákladovou přiměřenost, neboť školení bude absolvovat několik stovek zaměstnanců, a jakákoli změna, která by mohla zvýšit časovou či finanční náročnost, musí být pečlivě zvážena.
S ohledem na plánovanou každoroční realizaci školení a jeho využití i pro nové zaměstnance vzniká další požadavek na postupnou optimalizaci a pravidelnou aktualizaci obsahu. Dynamický vývoj v oblasti kybernetické bezpečnosti totiž vyžaduje, aby školení zůstalo relevantní a odpovídalo aktuálním trendům a potřebám. Tato kontinuita vyžaduje alokaci zdrojů pro vícepráce, včetně revize a aktualizace materiálů. Tuto potřebu bude nutné zahrnout do budoucích rozpočtů a zajistit, aby byla finančně pokryta. Optimalizace a aktualizace tak budou klíčové nejen pro kvalitu vzdělávání, ale také pro udržení školení v souladu s očekáváním organizace a jejich zaměstnanců.
Téma bezpečného vývoje softwaru mě zároveň profesně zajímá z perspektivy zajištění bezpečného vývoje softwaru ve veřejné a státní správě. Vzhledem k této perspektivě se do budoucna nabízí možnost vytvoření univerzálnějšího školení, které by bylo využitelné i dalšími organizacemi. Takový přístup by umožnil efektivní sdílení osvědčených postupů a pomohl by zvýšit úroveň bezpečnosti vývoje softwaru v širším měřítku.
Workshop Bezpečný vývoj software
- Workshop je tedy rozšířenou verzí školení. Obsahuje stejné úvodní informace i prvky, avšak navíc obsahuje významně detailní informace a nástroje:
- Další překlady k https://owaspsamm.org/model/
- https://owaspsamm.org/user-day/
- https://owaspsamm.org/resources/
- Podklady z Hodnotící rozhovor OWASP SAMM česky (připravoval jsem dříve)
- Podklady z Stručný průvodce OWASP SAMM – tentokrát česky (připravoval jsem dříve)
- Podklady z Výběr frameworku pro bezpečný vývoj SW (připravoval jsem dříve)
- Podklady z Design služeb a vývoj bezpečného SW s OWASP SAMM (připravoval jsem dříve)
- Podklady z Proč by nás měl zajímat OWASP SAMM? (připravoval jsem dříve)
- Podklady k BSIMM
- Podklady k Microsoft SDL
- Podklady k NIST SSDF
- Podklady k ISO/IEC 27034
- Instrukce k implementacím frameworků
- Instrukce ke kvalitativním rozhovorům na maturitou bezpečného vývoje v organizaci
- Tipy na pomocné nástroje
- Po každém modulu online setkání přes Zoom
- Diskusní fóra v Moodle
- Atd.
S ohledem na aktuální situaci, kdy si do června 2025 dávám pauzu od různých přednášek a workshopů (i když z praxe vím, že ono se to nakonec vyvine jinak), jsem si stanovil cíl detailně propracovat workshop na téma Bezpečný vývoj software právě do léta 2025. Tento časový rámec mi umožní vytvořit jeho komplexní podobu, která bude odpovídat aktuálním trendům, potřebám a očekáváním odborné veřejnosti i cílových skupin.
Workshop má značný potenciál, protože zájem o tuto problematiku je veliký, a to napříč různými sektory v České republice. Vzhledem k této poptávce je pravděpodobné, že podobné iniciativy se mohou objevit i u jiných subjektů, což zvyšuje potřebu nejen kvalitního zpracování obsahu, ale i rychlé realizace. Workshop má schopnost významně ovlivnit úroveň bezpečnosti softwaru a přispět k šíření osvědčených postupů v českém prostředí.
V současnosti zvažuji několik možností, pod čí hlavičkou by mohl workshop běžet. Patří sem například jeden státní podnik, zájmové sdružení právnických osob, minimálně dvě univerzity a některé firmy. Vzhledem k tomu, že tento projekt prezentuji otevřeně, jsem připraven na různé formy spolupráce, včetně možnosti věnovat se tématu dobrovolnicky. Důležité je, aby byla zajištěna dlouhodobá udržitelnost workshopu a jeho dopad.
I když jsem schopen si technologické zázemí, know-how a další aspekty spravovat samostatně, považuji za klíčové zajistit udržitelnost projektu a diverzifikaci rizik. Proto doporučuji zapojit několik dalších lidí, kteří by se workshopu věnovali společně se mnou. Takový přístup nejen zajistí kontinuitu a kvalitní realizaci workshopu, ale také zvýší jeho odolnost vůči nepředvídatelným změnám nebo výzvám.
České překlady pro OWASP SAMM: rozšíření projektu
Jedním z klíčových výstupů mého projektu v rámci předmětu Learning Design je také příspěvek k mezinárodnímu projektu OWASP SAMM (Software Assurance Maturity Model) ve formě českých překladů. Tyto překlady obohatí globální iniciativu, která již zahrnuje jazyky jako angličtina, španělština, ruština, čínština, němčina a francouzština, a dále posílí přístupnost a využitelnost tohoto frameworku v českém prostředí.
Překlady jsou realizovány prostřednictvím platformy Crowdin (je tam i nějak nápomocna AI) v rámci výzvy „Help us Translate!“ (viz OWASP SAMM Contributing). Proces překládání nejen že přináší možnost širšího využití OWASP SAMM v českém kontextu, ale zároveň otevírá dveře k hlubšímu propojení české odborné komunity s globálními standardy a osvědčenými postupy v oblasti bezpečného vývoje softwaru.
Vnímám tento příspěvek nejen jako podporu lokalizace důležitého mezinárodního projektu, ale i jako strategický krok k širšímu uplatnění principů OWASP SAMM v českém prostředí, zejména ve veřejné správě a státním sektoru. Přítomnost češtiny vedle dalších jazyků zdůrazňuje důležitost kulturní a jazykové rozmanitosti v globálním měřítku a přináší praktický přínos organizacím, které mohou nyní pracovat s materiály ve svém rodném jazyce.
Tento výstup navíc zajišťuje udržitelnost a dostupnost kvalitních materiálů pro organizace, které chtějí implementovat principy OWASP SAMM a posílit své schopnosti v oblasti bezpečného vývoje softwaru. České překlady tak představují další konkrétní krok ke zvyšování bezpečnostní kvality softwaru nejen v České republice, ale i v širším středoevropském regionu.
Součástí mé práce na českých překladech pro OWASP SAMM je také plánované online setkání s tvůrci tohoto projektu. Tato schůzka představuje skvělou příležitost nejen k prezentaci dosavadních překladatelských výstupů, ale také k získání zpětné vazby a k navázání hlubší spolupráce v rámci celého projektu.
Do tohoto setkání zapojuji také svého kolegu, který má pokročilé znalosti angličtiny a je schopen lépe komunikovat specifika i odborné nuance tématu. Věřím, že jeho účast nejen usnadní efektivní diskusi s tvůrci OWASP SAMM, ale také otevře dveře k možným novým nápadům, jak českou komunitu v rámci tohoto projektu lépe zapojit.
Od této spolupráce si slibuji obohacení mých aktivit o cenné zkušenosti a podněty přímo od zdroje, což mi umožní lépe pochopit širší kontext OWASP SAMM a jeho budoucí směřování. Zároveň se těším na možnost propojení českého překladu a podpory s mezinárodní komunitou, což by mohlo dále posílit dopad tohoto frameworku v České republice i mimo ni. Tento dialog je dalším krokem k tomu, aby česká lokalizace nejen splňovala kvalitativní standardy, ale také přispívala k tvorbě smysluplného obsahu, který bude využitelný pro široké spektrum uživatelů.
Optimistický závěr
Projekt realizovaný v rámci předmětu Learning Design přinesl významné výsledky, které překračují rámec původního zadání. Kombinace školení, workshopu a překladů pro OWASP SAMM dokazuje, že pečlivě promyšlené vzdělávací iniciativy mohou mít široký dopad na odbornou komunitu i společnost jako celek. Tyto výstupy nejenže přispívají k zvyšování úrovně bezpečného vývoje softwaru v České republice, ale také propojují české odborníky s mezinárodními standardy a komunitami.
Školení a workshop představují pevný základ pro kontinuální vzdělávání a podporu organizací v oblasti kybernetické bezpečnosti. Díky českým překladům OWASP SAMM se navíc český jazyk stává součástí globální snahy o zlepšování bezpečnostních procesů, což podtrhuje důležitost lokálních iniciativ na světové úrovni.
S nadšením a vizí do budoucna je zřejmé, že tyto výsledky otevírají další možnosti pro spolupráci a rozvoj. Ať už půjde o rozšíření školení a workshopu na další organizace, nebo o intenzivnější zapojení do mezinárodních projektů, tento úspěch je jen začátkem dlouhodobého úsilí, které má potenciál přispět k výrazné změně v oblasti bezpečného vývoje softwaru.
Tento projekt tak nejen plní cíle univerzitního zadání, ale i ukazuje, jak mohou jednotlivci a týmy smysluplně přispívat k rozvoji celého oboru. Před námi je mnoho práce, ale také mnoho příležitostí. Budoucnost bezpečného vývoje softwaru je světlejší, než kdy dříve.
Zdroje
[1] Úvodní obrázek byl generován pomocí AI Chat GPT DALL-E dne 29. 12. 2024.
[2] Projekt je realizován jako součást předmětu Learning Design (M. Černý, S. Kramosilová) v rámci oboru Design informačních služeb na Filozofické fakultě Masarykovy univerzity, 2024.
[3] OWASP SAMM: https://owaspsamm.org/
[4] OWASP SAMM – projektová stránka: https://owasp.org/www-project-samm/
[5] Výběr frameworku pro bezpečný vývoj SW: https://www.silenceplease.cz/vyber-frameworku-pro-bezpecny-vyvoj-sw/
[6] Design služeb a vývoj bezpečného SW s OWASP SAMM: https://www.silenceplease.cz/design-sluzeb-a-vyvoj-bezpecneho-sw_s_owasp_samm/
[6] Proč by nás měl zajímat OWASP SAMM?: https://www.silenceplease.cz/proc-by-nas-mel-zajimat-owasp-samm/
[8] Hodnotící rozhovor OWASP SAMM česky: https://www.silenceplease.cz/hodnotici-rozhovor-owasp-samm-cesky/
[9] Stručný průvodce OWASP SAMM – tentokrát česky: https://www.silenceplease.cz/strucny-pruvodce-owasp-samm-tentokrat-cesky/