课程介绍
DevSecOps(Secure DevOps)在信息安全领域是相对较新的。基本思想是将安全性作为软件开发原理,过程和方法学不可分割的一部分。DevOps模型正被技术行业迅速采用,以支持以比传统遵循的软件开发生命周期(SDLC)模型更快,更可靠的方式开发和向客户发布核心业务系统和应用程序的需求。通过以DevSecOps原理和方法的形式引入相关流程,安全行业已经适应了对DevOps的需求,而不会影响DevOps的初衷。将安全流程有效地嵌入DevOps模型中,以提高组织中IT项目的成功率。
培训对象
有兴趣学习 DevSecOps 策略和自动化的人员;
持续交付工具链架构人员;
合规团队、业务经理、交付人员;
DevOps 工程师、IT 经理、IT 安全专业人士;
项目经理、质量保证团队、发布经理、Scrum Master;
站点可靠性工程师、软件工程师、测试人员。
课程收益
了解 DevSecOps 的目的、收益、概念和词汇;
理解 DevOps 安全实践与其他方法的不同之处;
应用业务驱动的安全策略和最佳实践;
掌握数据与安全科学的基本原理;
学会如何将利益相关者整合到 DevSecOps 实践中;
加强开发、安全和运营团队之间的沟通;
理解并实践“安全即代码”。
知识概要
-- DevOps概述;
-- DevSecOps 一目了然;
-- DevSecOps 方法论;
-- DevSecOps 与 Jenkins;
-- 安全自动化;
-- 应用程式安全自动化。
课程大纲
DevOps 概述
软件开发安全发展历程
DevOps的定义和原则
DevOps在不同阶段的应用
DevSecOps 一目了然
CI(持续整合)和 CD(持续交付)
将安全性向左移动,即DevOps方式
DevSecOps 方法论
DevOps 项技术的安全性
安全性何时以及如何与应用程式和开发 生命周期交互
安全责任和活动的共享拥有权
DevSecOps 与 Jenkins
创建代理
创建管道作业
使用 SYNK 和 SonarQube 进行 SAST 安全扫描
使用 Arachini 和 OWASP-ZAP 进行 DAST 安全扫描
使用 Anchore 和 Aqua MicroScanner 进行图像安全扫描
开发 DevSecOps 管道
启用 CI 和 CD
安全自动化
常见网络攻击过程
Owasp Top10
使用 Gaunit 实现安全测试自动化
运行自动攻击
应用程式安全自动化
自动化和重构 XSS 攻击
自动化 SQLi 攻击
自动化模糊测试
在软体交付管道中测试安全性
安全镜像与云安全及DevSecOps的未来发展
认证过程
无认证考试
开班信息
暂无开班信息