課程介紹
DevSecOps(Secure DevOps)在信息安全領域是相對較新的。基本思想是將安全性作為軟件開發原理,過程和方法學不可分割的一部分。DevOps模型正被技術行業迅速采用,以支持以比傳統遵循的軟件開發生命周期(SDLC)模型更快,更可靠的方式開發和向客戶發布核心業務系統和應用程序的需求。通過以DevSecOps原理和方法的形式引入相關流程,安全行業已經適應了對DevOps的需求,而不會影響DevOps的初衷。將安全流程有效地嵌入DevOps模型中,以提高組織中IT項目的成功率。
培訓對象
有興趣學習 DevSecOps 策略和自動化的人員;
持續交付工具鏈架構人員;
合規團隊、業務經理、交付人員;
DevOps 工程師、IT 經理、IT 安全專業人士;
項目經理、質量保證團隊、發布經理、Scrum Master;
站點可靠性工程師、軟件工程師、測試人員。
課程收益
了解 DevSecOps 的目的、收益、概念和詞匯;
理解 DevOps 安全實踐與其他方法的不同之處;
應用業務驅動的安全策略和最佳實踐;
掌握數據與安全科學的基本原理;
學會如何將利益相關者整合到 DevSecOps 實踐中;
加強開發、安全和運營團隊之間的溝通;
理解并實踐“安全即代碼”。
知識概要
-- DevOps概述;
-- DevSecOps 一目了然;
-- DevSecOps 方法論;
-- DevSecOps 與 Jenkins;
-- 安全自動化;
-- 應用程式安全自動化。
課程大綱
DevOps 概述
軟件開發安全發展歷程
DevOps的定義和原則
DevOps在不同階段的應用
DevSecOps 一目了然
CI(持續整合)和 CD(持續交付)
將安全性向左移動,即DevOps方式
DevSecOps 方法論
DevOps 項技術的安全性
安全性何時以及如何與應用程式和開發 生命周期交互
安全責任和活動的共享擁有權
DevSecOps 與 Jenkins
創建代理
創建管道作業
使用 SYNK 和 SonarQube 進行 SAST 安全掃描
使用 Arachini 和 OWASP-ZAP 進行 DAST 安全掃描
使用 Anchore 和 Aqua MicroScanner 進行圖像安全掃描
開發 DevSecOps 管道
啟用 CI 和 CD
安全自動化
常見網絡攻擊過程
Owasp Top10
使用 Gaunit 實現安全測試自動化
運行自動攻擊
應用程式安全自動化
自動化和重構 XSS 攻擊
自動化 SQLi 攻擊
自動化模糊測試
在軟體交付管道中測試安全性
安全鏡像與云安全及DevSecOps的未來發展
認證過程
無認證考試
開班信息
暫無開班信息