Press "Enter" to skip to content

Learning Design 1: Chystám workshop o bezpečném vývoji softwaru

V rámci svého studia na Masarykově univerzitě, kde se věnuji oboru Design informačních služeb, jsem dostal za úkol v předmětu Learning Design zaměřit se na analýzu potřeb a cílové skupiny určitého vzdělávacího objektu. Tato analýza mě inspirovala k návrhu workshopu o bezpečném vývoji softwaru. Na základě zpětné vazby od lektorů kurzu jsem zúžil zaměření cílové skupiny na státní sektor, konkrétně na veřejnou správu. Tento přístup umožní vytvořit praktičtější a zaměřenější vzdělávací objekt, který lépe odpovídá potřebám konkrétní skupiny.

Workshop bude zaměřen na zvýšení povědomí o bezpečnostních rizicích a jejich prevenci v rámci životního cyklu vývoje softwaru. Cílem je podpořit odborníky ve veřejné správě, aby bezpečnost softwaru vnímali jako integrální součást vývojových procesů, nikoli jako doplněk.

Identifikace problému

Ve veřejném sektoru České republiky často chybí komplexní přístup k integraci bezpečnostních opatření do všech fází vývoje softwaru – od návrhu po údržbu a ukončení provozu. Přestože legislativa, jako je Zákon o kybernetické bezpečnosti, GDPR či očekávaná směrnice NIS2, ukládá veřejným institucím povinnosti v oblasti kybernetické bezpečnosti, implementace těchto pravidel do vývojových procesů bývá nedostatečná.

Mnozí zaměstnanci veřejné správy vnímají bezpečnost jako okrajovou záležitost. Nedostatek znalostí a systematických přístupů zvyšuje riziko zranitelností, které mohou vést ke kompromitaci citlivých dat občanů i klíčových systémů veřejných institucí.

Analýza potřeb

V oblasti veřejné správy existuje kritická potřeba zlepšit přístup k bezpečnosti, který zahrnuje jak technologické, tak lidské, procesní a etické aspekty. Klíčové dimenze této potřeby zahrnují následující perspektivy:

Legislativní požadavky

Veřejná správa je povinna dodržovat přísné legislativní a regulatorní standardy, jako jsou Zákon o kybernetické bezpečnosti, GDPR, Vyhláška o kybernetické bezpečnosti či očekávaná směrnice NIS2. Ačkoliv tyto regulace stanovují rámec bezpečnosti, jejich skutečné zakotvení do každodenních procesů vývoje a správy informačních systémů často selhává. To vytváří riziko neplnění povinností, což může mít závažné důsledky, jako jsou:

  • Finanční sankce.
  • Ztráta důvěry veřejnosti.
  • Ohrožení fungování klíčových služeb státní správy.

Nedostatek povědomí

Mnoho zaměstnanců veřejné správy nevnímá kybernetickou bezpečnost jako integrální součást své práce. Tento přístup vede k:

  • Podceňování rizik, jako jsou phishingové útoky, nedostatečně zabezpečené aplikace nebo úniky dat.
  • Neschopnosti identifikovat a hlásit bezpečnostní hrozby.
  • Omezenému zapojení uživatelů do implementace bezpečnostních opatření.

Technologická a netechnologická zranitelnost

Kybernetická bezpečnost ve veřejné správě není jen otázkou technologií. Slabiny mohou zahrnovat jak zastaralé nebo špatně udržované systémy, tak i procesní, organizační a obchodní zranitelnosti:

  • Technologické aspekty:
    • Kybernetické útoky, jako jsou ransomware nebo DDoS.
    • Kompromitace citlivých dat občanů.
    • Výpadky klíčových služeb.
  • Netetechnologické aspekty:
    • Obchodní řetězce a třetí strany:
      • Nedostatečná kontrola nad bezpečnostními standardy dodavatelů.
      • Řetězové útoky skrze méně zabezpečené partnery.
    • Procesní zranitelnosti:
      • Chybějící nebo neaktuální bezpečnostní postupy, například pro správu přístupových práv nebo reakci na incidenty.
      • Slabé krizové plány a omezený monitoring bezpečnosti.
    • Organizační nedostatky:
      • Špatná komunikace mezi odděleními a nedostatečná koordinace.
      • Kultura zaměřená více na výkon než na bezpečnost.

Nedostatečné zdroje a odborné kapacity

Veřejná správa čelí omezením v oblasti financování a odborných znalostí. Tyto faktory ztěžují:

  • Implementaci pokročilých rámců, jako jsou OWASP SAMM, BSIMM nebo NIST SSDF.
  • Systematické vzdělávání zaměstnanců.
  • Přechod od reaktivního k preventivnímu přístupu.

Zvyšující se počet kybernetických hrozeb

Kybernetické hrozby jsou stále sofistikovanější a cílenější. Veřejná správa čelí výzvám v oblasti:

  • Ochrany klíčových systémů před sofistikovanými útoky.
  • Předcházení bezpečnostním incidentům v prostředí se zvýšenými riziky.
  • Zajištění bezpečnosti kritické infrastruktury i za krizových podmínek.

Specifické potřeby veřejné správy

Kybernetická bezpečnost v tomto sektoru má unikátní požadavky, které zahrnují:

  • Zpracování a ochranu citlivých dat občanů a státních organizací.
  • Transparentnost bezpečnostních opatření.
  • Zajištění vysoké dostupnosti služeb i v krizových situacích.

Lidský rozměr bezpečnosti

Lidé jsou klíčovým faktorem úspěchu nebo selhání bezpečnostních opatření. Veřejná správa potřebuje například:

  • Edukační programy: Zvýšit povědomí zaměstnanců o kybernetických hrozbách a jejich dopadech.
  • Zaměření na uživatele: Navrhovat bezpečnostní opatření, která jsou snadno pochopitelná a přijatelná pro běžné uživatele.
  • Kognitivní a emocionální design: Minimalizovat frustraci a zvýšit důvěru uživatelů v bezpečnostní opatření, například prostřednictvím:
    • Jasných a srozumitelných varování.
    • Omezení tzv. „únavy z bezpečnosti“, která snižuje motivaci uživatelů dodržovat pravidla.

Etická dimenze bezpečnosti

Veřejná správa musí při implementaci bezpečnostních opatření zohlednit také etické a morální otázky. Ty zahrnují například:

  • Ochranu soukromí: Zajištění, aby sběr a zpracování dat odpovídalo nejen legislativním, ale i etickým standardům.
  • Transparentnost: Komunikovat občanům účel a rozsah bezpečnostních opatření, aby byla zachována důvěra.
  • Etické rozhodování: Zvážit etické aspekty při použití technologií, jako je etický hacking nebo sledování aktivit zaměstnanců.
  • Inkluze a přístupnost: Zajistit, aby bezpečnostní opatření neomezovala přístup lidí s hendikepy nebo specifickými potřebami.

Analýza potřeb ukazuje, že veřejná správa vyžaduje komplexní přístup ke kybernetické bezpečnosti. Ten musí zahrnovat:

  • Technické opatření: Zavedení moderních rámců a standardů pro bezpečný vývoj a správu softwaru.
  • Organizační změny: Podpora interní kapacity a systematického vzdělávání.
  • Lidský rozměr: Vytvoření bezpečnostních opatření, která jsou srozumitelná, uživatelsky přívětivá a integrovaná do každodenního fungování.
  • Etická dimenze: Transparentní, inkluzivní a morálně odpovědné zpracování a ochrana dat.
  • Řešení netechnologických zranitelností: Posílení bezpečnostních procesů, obchodních řetězců a organizačních vztahů.

Workshop zaměřený na tyto aspekty poskytne zaměstnancům veřejné správy praktické nástroje pro efektivní řešení kybernetických hrozeb a budování důvěry v digitální služby.

Cílová skupina a demografické údaje

Na základě zpětné vazby jsem zaměřil workshop výhradně na potřeby státní správy, což umožnilo přizpůsobit obsah a metody konkrétní profesní skupině. Workshop nyní cílí na:

  • Vývojáře softwaru
    Profesionály pracující na informačních systémech pro veřejnou správu. Tito účastníci se zaměří na integraci bezpečnostních standardů do vývojového procesu, od návrhu až po údržbu.
  • IT manažery
    Vedoucí pracovníky zodpovědné za strategii a implementaci bezpečnostních opatření. Workshop jim poskytne přehled o legislativních požadavcích (např. GDPR, NIS2) a osvědčených postupech při řízení kybernetické bezpečnosti.
  • Bezpečnostní specialisty
    Odborníky na kybernetickou bezpečnost, kteří hledají způsoby, jak propojit své znalosti s vývojovým procesem a přizpůsobit bezpečnostní opatření specifickým požadavkům státní správy.

Toto zaměření zajišťuje, že každý účastník bude mít podobný profesní kontext, což zjednodušuje strukturu workshopu a umožňuje hlubší diskusi o tématech, jako je legislativa, kybernetická bezpečnost a specifické výzvy veřejné správy.

Workshop je otevřen také dalším zaměstnancům státní správy, kteří se podílejí na správě informačních systémů, zadávání IT projektů nebo řízení obchodních vztahů s externími dodavateli. Tato skupina zahrnuje:

  • IT specialisty a administrátory: Zodpovědné za provoz a údržbu systémů, implementaci bezpečnostních aktualizací, správu přístupových práv a monitorování systémů.
  • Specialisty na procesy a obchodní vztahy: Jednotlivce, kteří koordinují vztahy s externími dodavateli a řeší procesní nebo organizační zranitelnosti.
  • Zástupce úřadů a institucí: Odpovědné za zajištění souladu s legislativou a zabezpečení procesů týkajících se citlivých dat občanů.
  • Další zaměstnance: Podílející se na procesech, kde mohou vznikat bezpečnostní rizika mimo technologický rámec, například v oblasti správy dat nebo krizového plánování.

Tímto uspořádáním se workshop soustředí na klíčové skupiny, které mají přímý vliv na kybernetickou bezpečnost a správu informačních systémů ve veřejné správě, a zároveň ponechává prostor i pro další role, které mohou mít vliv na bezpečnostní ekosystém.

Současné znalosti a dovednosti

Účastníci workshopu budou mít různorodé znalosti a zkušenosti. Zatímco někteří již mají pevné základy ve vývoji softwaru, správě IT systémů nebo kybernetické bezpečnosti, mnozí mohou mít omezené zkušenosti s komplexními bezpečnostními přístupy, zahrnujícími i netechnologické aspekty, jako jsou obchodní vztahy a procesní zranitelnosti. Workshop je navržen tak, aby doplnil právě tyto znalostní mezery a představil účastníkům klíčové bezpečnostní metodiky, jako jsou OWASP SAMM, BSIMM nebo Microsoft SDL.

Účastníci mohou mít různé odborné zaměření:

  • Technické role (vývojáři, IT specialisté):
    Často chybně vnímají bezpečnost jako izolovaný problém IT oddělení, nikoliv jako integrální součást vývoje a provozu systémů.
  • Netekničtí pracovníci:
    Mohou podceňovat vliv procesních nebo organizačních slabin na bezpečnostní zranitelnosti a jejich dopad na chod organizace.
  • Bezpečnostní specialisté:
    Mají pokročilé znalosti kybernetických hrozeb a ochranných opatření, ale často hledají způsoby, jak lépe integrovat své odborné znalosti do vývojových procesů a specifického prostředí veřejné správy.

Workshop tak nabídne vyvážený přístup, který propojí technické, procesní i lidské aspekty kybernetické bezpečnosti, a poskytne účastníkům hlubší pochopení, jak integrovat bezpečnostní standardy do širšího rámce organizace. Tento přístup zároveň zajistí, že každá skupina získá praktické nástroje a poznatky relevantní pro svou specifickou roli.

Motivace a potřeby

Z pohledu účastníků jsou motivace k účasti na workshopu různorodé a vycházejí z jejich specifických rolí v rámci státní správy:

  • Zajištění souladu s legislativou:
    Jednou z hlavních motivací je pochopení a implementace požadavků legislativy, jako jsou GDPR, NIS2 nebo Zákon o kybernetické bezpečnosti. Účastníci se chtějí naučit, jak tato pravidla efektivně začlenit do procesů a vývoje softwaru ve veřejné správě.
  • Prevence kybernetických hrozeb:
    S rostoucím počtem a sofistikovaností kybernetických útoků je důležité naučit se, jak snižovat zranitelnosti, chránit kritické systémy a minimalizovat dopady potenciálních incidentů.
  • Osobní a profesní rozvoj:
    Účastníci workshopu často usilují o zvýšení svých odborných kompetencí, což může podpořit jejich kariérní růst. Pro bezpečnostní specialisty a vývojáře je motivací zejména získání praktických dovedností, které jim umožní zlepšit své pracovní postupy.
  • Zlepšení organizační efektivity:
    IT manažeři a procesní specialisté hledají způsoby, jak bezpečnostní opatření lépe integrovat do stávajících organizačních procesů, včetně řízení vztahů s externími dodavateli, krizového plánování nebo správy informačních systémů.
  • Zvýšení důvěry v digitální služby:
    Zástupci veřejné správy chtějí zajistit, aby občané mohli důvěřovat digitálním službám a aby bezpečnostní opatření byla zároveň transparentní, efektivní a uživatelsky přívětivá.

Workshop musí nabídnout více než jen technické informace – klíčem je propojení technických, organizačních a lidských aspektů. Účastníci budou potřebovat praktické zkušenosti, které jim umožní aplikovat nové znalosti do svého pracovního prostředí. Důraz bude kladen na:

  • Technické aspekty: Použití bezpečnostních rámců, jako jsou OWASP SAMM nebo NIST SSDF.
  • Procesní aspekty: Integrace bezpečnostních opatření do obchodních řetězců a organizačních procesů.
  • Lidský rozměr: Navrhování bezpečnostních opatření, která jsou uživatelsky přívětivá a snadno aplikovatelná.

Možné bariéry a omezení

Kybernetická bezpečnost ve veřejné správě představuje komplexní oblast, která čelí řadě výzev jak z pohledu účastníků workshopu, tak z pohledu jeho organizátorů. Na straně účastníků mohou být překážkami časová omezení, rozdílná úroveň odborných znalostí nebo nedostatek podpory ze strany vedení. Organizátoři se zase mohou potýkat s logistickou a obsahovou náročností, potřebou přizpůsobit obsah různorodým profesním skupinám a zajistit efektivní zapojení všech účastníků. Identifikace těchto bariér je klíčová pro přípravu workshopu, který dokáže tyto výzvy překonat.

Z pohledu účastníků

  • Časová a pracovní zátěž:
    Zaměstnanci veřejné správy mohou mít omezené kapacity věnovat se školení kvůli svým každodenním povinnostem a náročným termínům.
  • Finanční omezení:
    Rozpočty veřejných institucí na vzdělávání mohou být omezené, což může snížit počet pracovníků, kteří se mohou workshopu zúčastnit.
  • Různorodá úroveň znalostí:
    Rozmanitost technických a netechnických zkušeností účastníků může představovat výzvu při strukturování obsahu tak, aby byl přínosný pro všechny.
  • Nedostatek interních kapacit:
    Po absolvování workshopu může být implementace získaných poznatků omezená nedostatkem interních zdrojů nebo odborníků, kteří by mohli realizovat navržené změny.
  • Nepochopení bezpečnostní problematiky na strategické úrovni:
    Nedostatečná podpora nebo pochopení důležitosti kybernetické bezpečnosti ze strany vyššího managementu může omezit schopnost realizovat dlouhodobé změny v organizaci.

Z pohledu organizátorů

  • Komplexnost a multioborovost témat:
    Workshop pokrývá technické, legislativní, procesní i lidské aspekty kybernetické bezpečnosti. Sestavení lektorského týmu, který by efektivně pokryl všechny tyto oblasti, může být náročné.
  • Přizpůsobení obsahu různorodým potřebám:
    Organizátoři musí zajistit, aby obsah odpovídal jak technickým specialistům, tak procesním nebo manažerským rolím, což vyžaduje vysokou úroveň flexibility a přípravy.
  • Logistická náročnost:
    Organizace workshopu pro zaměstnance veřejné správy může být ovlivněna požadavky na harmonogram, lokalitu nebo dostupnost technického vybavení.
  • Udržení zájmu a zapojení:
    Složitá a rozsáhlá témata mohou vést ke ztrátě zájmu účastníků, pokud nebudou předávána prakticky a interaktivně.
  • Omezené zdroje pro následnou podporu:
    Organizátoři mohou čelit omezeným možnostem poskytnout účastníkům podporu při implementaci znalostí po skončení workshopu.
  • Hodnocení dopadu:
    Měření skutečného dopadu workshopu na zlepšení kybernetické bezpečnosti ve veřejné správě může být složité a vyžaduje systematický přístup k evaluaci.

Řešení překážek

Úspěšný workshop se musí zaměřit na praktická a efektivní řešení, která pomohou odstranit identifikované bariéry a zajistí hladký průběh i implementaci získaných poznatků. Na straně účastníků je klíčové poskytnout obsah přizpůsobený jejich potřebám a nabídnout praktické příklady a aplikace. Organizátoři musí vytvořit flexibilní strukturu workshopu, zajistit kvalitní logistickou přípravu a nabídnout následnou podporu. Díky tomuto přístupu lze zajistit vysokou úroveň zapojení účastníků a dlouhodobý dopad na zlepšení bezpečnosti ve veřejné správě.

Z pohledu účastníků:

  • Praktické příklady a aplikace:
    Reálné scénáře a řešení, která jsou přizpůsobená specifickým výzvám veřejné správy, zajistí snadnější aplikaci získaných znalostí.
  • Flexibilita obsahu:
    Možnost upravit úroveň workshopu podle potřeb konkrétní skupiny účastníků a jejich profesního zaměření.
  • Podpora pro implementaci:
    Poskytnutí návodů a příkladů, jak získané znalosti integrovat do stávajících procesů a projektů.

Z pohledu organizátorů:

  • Široká spolupráce na přípravě:
    Zapojení odborníků s různým zaměřením – technickým, legislativním i procesním – zajistí komplexní pokrytí všech oblastí.
  • Modulární struktura:
    Workshop bude rozdělen do modulů, které umožní přizpůsobit obsah různým profesním rolím, a zároveň poskytne prostor pro interaktivní prvky, jako jsou diskuse a praktická cvičení.
  • Kvalitní logistická příprava:
    Jasně strukturovaný harmonogram, dostupné materiály a technická podpora na místě zajistí hladký průběh workshopu.
  • Interaktivní metody:
    Využití workshopových technik, jako jsou případové studie, simulace a skupinové aktivity, zvýší zapojení a udrží pozornost účastníků.
  • Následná podpora:
    Organizátoři mohou připravit follow-up aktivity, jako jsou online konzultace, materiály ke stažení nebo návazné školení, které podpoří implementaci získaných poznatků.
  • Hodnocení a zpětná vazba:
    Systematická evaluace dopadů workshopu a zpětná vazba od účastníků pomůže upravit obsah a metody pro budoucí akce.

Způsob sběru dat pro analýzu potřeb

Pro účely analýzy potřeb účastníků workshopu bude využita kombinace několika metod sběru dat, které vycházejí z principů designu služeb, aktuálního zaměření na státní správu a mé dlouholeté praxe v oblasti kybernetické bezpečnosti. Základem je iterativní proces, který reflektuje zpětnou vazbu a skutečné potřeby uživatelů – v tomto případě účastníků workshopu. Na základě mých předchozích zkušeností s realizací odborných kurzů a školení v oblasti kybernetické bezpečnosti byly již provedeny první kroky k identifikaci hlavních potřeb účastníků.

Tyto kroky zahrnovaly:

  • Základní rozhovory: S kolegy z oboru, kteří se podílejí na vývoji softwaru pro veřejnou správu nebo na řízení kybernetické bezpečnosti, a s účastníky historických kurzů.
  • Analýzu zpětné vazby: Z předchozích workshopů a přednášek zaměřených na bezpečnost ve veřejné správě.

Cílem je hlubší pochopení konkrétních problémů, kterým účastníci čelí, včetně technologických, procesních a lidských aspektů bezpečnosti. Pro další zpřesnění potřeb účastníků a přizpůsobení obsahu workshopu budou realizovány následující metody sběru dat:

Kvalitativní rozhovory (semi-strukturované rozhovory)

Tato metoda umožní hlubší vhled do potřeb účastníků a klíčových stakeholderů ve státní správě. Rozhovory budou vedeny s:

  • Vývojáři softwaru a systémovými architekty, kteří se podílejí na tvorbě a správě informačních systémů.
  • IT manažery a vedoucími pracovníky, odpovědnými za bezpečnostní strategie a implementaci opatření.
  • Bezpečnostními specialisty, kteří se snaží integrovat své znalosti do procesů státní správy.
  • Dalšími pracovníky, kteří se zabývají procesními a organizačními aspekty kybernetické bezpečnosti.

Semi-strukturovaný formát rozhovorů poskytne flexibilitu pro zkoumání témat, která se ukážou jako klíčová během diskuse.

Dotazníky (kvantitativní výzkum)

Rozeslání dotazníků mezi širší okruh potenciálních účastníků workshopu poskytne kvantitativní údaje o:

  • Současných znalostech a dovednostech účastníků.
  • Jejich očekáváních a specifických potřebách ve vztahu k bezpečnosti softwarových projektů.

Dotazníky budou kombinovat uzavřené otázky, které umožní statistickou analýzu, a otevřené otázky, které poskytnou detailní vhled do problémů, se kterými se účastníci setkávají.

Analýza existujících materiálů (desk research)

Analýza aktuálně dostupných vzdělávacích materiálů, technické dokumentace a dalších zdrojů ve veřejné správě:

Identifikuje nedostatky ve stávajících vzdělávacích programech zaměřených na kybernetickou bezpečnost.

  • Poskytne podklady pro návrh inovativních a cílených řešení, která budou odpovídat potřebám státní správy.

Desk research také zahrne přezkoumání legislativních požadavků, jako je GDPR nebo NIS2, aby byl obsah workshopu plně v souladu s aktuálními normami.

Participativní design (co-creation)

Zapojení budoucích účastníků již během návrhu workshopu zajistí, že jeho obsah bude co nejlépe odpovídat jejich potřebám. Tento proces zahrnuje:

  • Aktivní sběr zpětné vazby z pilotních verzí workshopu.
  • Spolupráci s klíčovými cílovými skupinami při testování vzdělávacích materiálů.

Participativní přístup zajišťuje, že výsledný workshop bude nejen relevantní, ale také prakticky využitelný.

Sběr dat prostřednictvím zpětné vazby z pilotních workshopů

Zpětná vazba od účastníků pilotních verzí workshopu bude použita k:

  • Zlepšení struktury a obsahu workshopu.
  • Identifikaci oblastí, které je třeba rozšířit nebo naopak zjednodušit.

Výstupy analýzy potřeb

Kombinací těchto metod bude dosaženo komplexního pohledu na potřeby účastníků. Tento přístup umožní optimalizovat obsah workshopu tak, aby byl:

  • Relevatní pro specifické potřeby státní správy.
  • Prakticky zaměřený a aplikovatelný v reálném prostředí.
  • V souladu s technickými, procesními i lidskými aspekty kybernetické bezpečnosti.

Závěr

Workshop o bezpečném vývoji softwaru je navržen jako cílená odpověď na specifické potřeby státní správy v oblasti kybernetické bezpečnosti. Analýza potřeb ukázala, že klíčovými skupinami jsou vývojáři, IT manažeři a bezpečnostní specialisté, kteří čelí výzvám spojeným s rostoucími kybernetickými hrozbami, legislativními požadavky a nedostatky ve stávajících procesech a znalostech. Workshop se zaměřuje na technické, procesní i lidské aspekty bezpečnosti, přičemž zdůrazňuje praktické uplatnění získaných dovedností v prostředí veřejné správy.

Tím, že poskytne účastníkům nejen technické znalosti, ale také hlubší porozumění procesním a organizačním zranitelnostem, podporuje workshop jejich schopnost efektivně reagovat na současné výzvy a integrovat bezpečnost do všech fází vývoje softwaru. Flexibilní přístup a participativní design zajišťují, že obsah odpovídá reálným potřebám cílové skupiny, zatímco praktická orientace umožňuje okamžitou aplikaci získaných poznatků.

Tento workshop je krokem ke zvyšování bezpečnostní odolnosti státní správy a důvěry občanů v digitální služby, přičemž propojuje technologické inovace s důrazem na odpovědnost a etiku.


Zdroje

[1] Úvodní obrázek byl generován pomocí AI Chat GPT DALL-E dne 29. 12. 2024.
[2] Projekt je realizován jako součást předmětu Learning Design (M. Černý, S. Kramosilová) v rámci oboru Design informačních služeb na Filozofické fakultě Masarykovy univerzity, 2024.
[3] OWASP SAMM: https://owaspsamm.org/
[4] OWASP SAMM – projektová stránka: https://owasp.org/www-project-samm/
[5] Výběr frameworku pro bezpečný vývoj SW: https://www.silenceplease.cz/vyber-frameworku-pro-bezpecny-vyvoj-sw/
[6] Design služeb a vývoj bezpečného SW s OWASP SAMM: https://www.silenceplease.cz/design-sluzeb-a-vyvoj-bezpecneho-sw_s_owasp_samm/
[6] Proč by nás měl zajímat OWASP SAMM?: https://www.silenceplease.cz/proc-by-nas-mel-zajimat-owasp-samm/
[8] Hodnotící rozhovor OWASP SAMM česky: https://www.silenceplease.cz/hodnotici-rozhovor-owasp-samm-cesky/
[9] Stručný průvodce OWASP SAMM – tentokrát česky: https://www.silenceplease.cz/strucny-pruvodce-owasp-samm-tentokrat-cesky/