Благодарим ви, че изпратихте вашето запитване! Един от членовете на нашия екип ще се свърже с вас скоро.
Благодарим ви, че направихте своята резервация! Един от членовете на нашия екип ще се свърже с вас скоро.
План на курса
1. Основи на DevSecOps: Безопасност по проектиране
🔍 Научете: Основни принципи на DevSecOps и сигурен SDLC
🛠️ Демонстрация: Сравнение на легални и модерни сигурни пиплайни
🔧 Лабораторна работа: Създайте шаблон на първия си пиплайн с DevSecOps
2. OWASP ЗАП Безопасен Тестово Обучение
💣 Симулация на пробив:
- Развернете уязвимо приложение с SQLi & XSS
- Използвайте OWASP ZAP за откриване и намаляване на угрози
⚙️ Защитни тактики:
- Автоматизирано сканиране с ZAP
- Интеграция на CI/CD чрез ZAP API
🧪 Лабораторна работа: Настройте основни сканиране на ZAP + правила за атаки
🎯 Изправена задача: “Найдете скрития админ панел в рамките на 10 минути”
3. Адски Зависимости: Защита на веригата за доставка
💣 Симулация на пробив:
- Въведете зловреден npm пакет с CVEs
🛡️ Защитни тактики:
- Мониторинг на уязвимости с OWASP Dependency-Track
- Прилагане на политики за прекъсване на сглобяване при критични CVEs
🧪 Лабораторна работа: Създаване на политики за уязвимости и уведомления
⚠️ Шокираща демонстрация: “Как една лошa зависимост може да контролира вашата инфраструктура”
4. Възникналост на Уязвимости Management Център за кризи
💣 Симулация на пробив:
- Експлоатирайте неоправени уязвимости в контейнери
🛡️ Защитни тактики:
- Централизиране на доклади с OWASP DefectDojo
- Сканиране на контейнери с Trivy
🧪 Лабораторна работа: Създаване на реални дашбордове за докладване на CISO/директор
🏁 Съревнование: “Обработете 50 находки по-бързо от вашите съперници”
5. Секрети и Конфигурация: Въвеждане в ситуация
💣 Симулация на пробив:
- Извлечете секрети от историята на Git, използвайки truffleHog
🛡️ Защитни тактики:
- Пре-комит хукове за блокиране на шаблони като
password=.* - Използвайте ZAP’s конфигурационен паяк за показване на опасни настройки
🧪 Лабораторна работа: Въведете GitHub Actions секретно сканиране
🚨 Реалност: “Вашият парол за база данни е в Slack сега”
6. Заключение: План за DevSecOps битка
🧭 OWASP Карта за интеграция:
- Планирайте вашето приемане на DefectDojo, Dependency-Track и ZAP
📋 Личен план за дейности:
- Създайте 30-дневна проверка за сигурност
- Определете вашите DevSecOps KPI и дашбордове за докладване
Изисквания
Основни знания за софтуер и опит с SDLC
Целева аудитория
DevOps, специалисти по сигурност и облачни инженери, които мразят теоретични разговори за сигурност
7 Часа
Oтзиви от потребители (1)
Имахме много практически упражнения, които бяха надглеждани и помощни от треньора.
Aleksandra - Fundacja PTA
Курс - Mastering Make: Advanced Workflow Automation and Optimization
Машинен превод
