課程介紹
DevSecOps(Secure DevOps)在信息安全領(lǐng)域是相對(duì)較新的。基本思想是將安全性作為軟件開發(fā)原理,過程和方法學(xué)不可分割的一部分。DevOps模型正被技術(shù)行業(yè)迅速采用,以支持以比傳統(tǒng)遵循的軟件開發(fā)生命周期(SDLC)模型更快,更可靠的方式開發(fā)和向客戶發(fā)布核心業(yè)務(wù)系統(tǒng)和應(yīng)用程序的需求。通過以DevSecOps原理和方法的形式引入相關(guān)流程,安全行業(yè)已經(jīng)適應(yīng)了對(duì)DevOps的需求,而不會(huì)影響DevOps的初衷。將安全流程有效地嵌入DevOps模型中,以提高組織中IT項(xiàng)目的成功率。
培訓(xùn)對(duì)象
有興趣學(xué)習(xí) DevSecOps 策略和自動(dòng)化的人員;
持續(xù)交付工具鏈架構(gòu)人員;
合規(guī)團(tuán)隊(duì)、業(yè)務(wù)經(jīng)理、交付人員;
DevOps 工程師、IT 經(jīng)理、IT 安全專業(yè)人士;
項(xiàng)目經(jīng)理、質(zhì)量保證團(tuán)隊(duì)、發(fā)布經(jīng)理、Scrum Master;
站點(diǎn)可靠性工程師、軟件工程師、測(cè)試人員。
課程收益
了解 DevSecOps 的目的、收益、概念和詞匯;
理解 DevOps 安全實(shí)踐與其他方法的不同之處;
應(yīng)用業(yè)務(wù)驅(qū)動(dòng)的安全策略和最佳實(shí)踐;
掌握數(shù)據(jù)與安全科學(xué)的基本原理;
學(xué)會(huì)如何將利益相關(guān)者整合到 DevSecOps 實(shí)踐中;
加強(qiáng)開發(fā)、安全和運(yùn)營(yíng)團(tuán)隊(duì)之間的溝通;
理解并實(shí)踐“安全即代碼”。
知識(shí)概要
-- DevOps概述;
-- DevSecOps 一目了然;
-- DevSecOps 方法論;
-- DevSecOps 與 Jenkins;
-- 安全自動(dòng)化;
-- 應(yīng)用程式安全自動(dòng)化。
課程大綱
DevOps 概述
軟件開發(fā)安全發(fā)展歷程
DevOps的定義和原則
DevOps在不同階段的應(yīng)用
DevSecOps 一目了然
CI(持續(xù)整合)和 CD(持續(xù)交付)
將安全性向左移動(dòng),即DevOps方式
DevSecOps 方法論
DevOps 項(xiàng)技術(shù)的安全性
安全性何時(shí)以及如何與應(yīng)用程式和開發(fā) 生命周期交互
安全責(zé)任和活動(dòng)的共享擁有權(quán)
DevSecOps 與 Jenkins
創(chuàng)建代理
創(chuàng)建管道作業(yè)
使用 SYNK 和 SonarQube 進(jìn)行 SAST 安全掃描
使用 Arachini 和 OWASP-ZAP 進(jìn)行 DAST 安全掃描
使用 Anchore 和 Aqua MicroScanner 進(jìn)行圖像安全掃描
開發(fā) DevSecOps 管道
啟用 CI 和 CD
安全自動(dòng)化
常見網(wǎng)絡(luò)攻擊過程
Owasp Top10
使用 Gaunit 實(shí)現(xiàn)安全測(cè)試自動(dòng)化
運(yùn)行自動(dòng)攻擊
應(yīng)用程式安全自動(dòng)化
自動(dòng)化和重構(gòu) XSS 攻擊
自動(dòng)化 SQLi 攻擊
自動(dòng)化模糊測(cè)試
在軟體交付管道中測(cè)試安全性
安全鏡像與云安全及DevSecOps的未來發(fā)展
認(rèn)證過程
無認(rèn)證考試
開班信息
-
課程名稱:開發(fā)安全DevSecOps
-
時(shí)間:05/22-05/23考試費(fèi)用:無
-
地點(diǎn):上海市恒通路一天下大廈A802培訓(xùn)費(fèi)用:5000 RMB
-
聯(lián)系人:吳老師郵箱:johnson.wu@consultfuture.com
-
電話:021-63530102-813傳真:021-63530102-818
我要報(bào)名