Съдържание и теми, включени в курса
1. Основи на DevSecOps: Сигурност по дизайн
🔍 Научете: Основни принципи на DevSecOps и сигурен SDLC
🛠️ Демо: Сравнение паралелно между наследени и модерни сигурни пъплайни
🔧 Лаборатория: Създайте свой първи шаблон за пъплайн с активиран DevSecOps
2. Bootcamp за тестване на сигурността с OWASP ZAP
💣 Симулация на пробив:
- Разгърнете уязвимо приложение с SQLi и XSS
- Използвайте OWASP ZAP за откриване и смекчаване на заплахи
⚙️ Защитни тактики:
- Автоматизирано сканиране с ZAP
- Интеграция в CI/CD чрез ZAP API
🧪 Лаборатория: Персонализирайте базови сканирания на ZAP и правила за атаки
🎯 Предизвикателство: „Открийте скрития администраторски панел за 10 минути“
3. Адът на зависимостите: Защита на веригата за доставки
💣 Симулация на пробив:
- Инжектирайте зловреден npm пакет с CVEs
🛡️ Защитни тактики:
- Наблюдавайте уязвимости с OWASP Dependency-Track
- Налагайте политики за блокиране на билдове при критични CVEs
🧪 Лаборатория: Създайте политики за уязвимости и работни потоци за известяване
⚠️ Шокиращо демо: „Как една лоша зависимост може да превземе инфраструктурата ви“
4. Командна зала за управление на уязвимости
💣 Симулация на пробив:
- Експлоатирайте непоправени уязвимости в контейнери
🛡️ Защитни тактики:
- Централизирано отчитане с OWASP DefectDojo
- Сканирайте контейнери с Trivy
🧪 Лаборатория: Изградете реални табла за управление за отчитане пред CISO и ръководство
🏁 Състезание: „Триажирайте 50 констатации по-бързо от съперниците си“
5. Пожарна тренировка за тайни и конфигурации
💣 Симулация на пробив:
- Извлечете тайни от Git историята с truffleHog
🛡️ Защитни тактики:
- Pre-commit кукички за блокиране на шаблони като
password=.* - Използвайте config spider на ZAP, за да разкриете опасни настройки
🧪 Лаборатория: Внедрете сканиране за тайни в GitHub Actions
🚨 Проверка на реалността: „Вашата парола за базата данни е в Slack в момента“
6. Заключение: Боен план за DevSecOps
🧭 Пътна карта за интеграция на OWASP:
- Планирайте внедряването на DefectDojo, Dependency-Track и ZAP
📋 Личен план за действие:
- Изгответе своя 30-дневен чеклист за сигурност
- Определете своите KPI-та за DevSecOps и табла за отчитане
Изисквания
Основополагащ опит в софтуера и SDLC
Аудитория
DevOps, инженери по сигурност и облачни инженери, които мразят теоретични лекции по сигурност
Отзиви от участници (2)
Крейг беше изключително ангажиран с обучението, винаги осигурявайки, че объртаме внимание, адаптираше примерите към нашата дневна дейност и винаги даваше отговор, когато му зададем въпрос, дори ако информацията не беше включена в презентацията.
Ecaterina Ioana Nicoale - BOOKING HOLDINGS ROMANIA SRL
Курс - DevOps Foundation®
Машинен превод
Висок ниво на ангажираност и знания на треньора
Jacek - Softsystem
Курс - DevOps Engineering Foundation (DOEF)®
Машинен превод