聯繫我們

課程簡介

1. DevSecOps 基礎:安全內建

🔍 學習內容:核心 DevSecOps 原則與安全 SDLC

🛠️ 實演:傳統管道與現代安全管道的對比分析

🔧 實作:建立您的第一個 DevSecOps 啟用管道範本

2. OWASP ZAP 安全測試強化營

💣 入侵模擬:

  • 部署具有 SQLi 與 XSS 漏洞的應用程式
  • 使用 OWASP ZAP 偵測並緩解威脅

⚙️ 防禦策略:

  • 透過 ZAP 進行自動化掃描
  • 透過 ZAP API 整合至 CI/CD 流程

🧪 實作:自訂 ZAP 基準掃描與攻擊規則

🎯 挑戰:「10分鐘內找出隱藏的管理員後台」

3. 依賴地獄:供應鏈防禦

💣 入侵模擬:

  • 注入包含 CVE 漏洞的惡意 npm 套件

🛡️ 防禦策略:

  • 使用 OWASP Dependency-Track 監控漏洞
  • 強制執行政策閘門,對嚴重 CVE 阻斷构建

🧪 實作:建立漏洞政策與警報工作流

⚠️ 震撼實演:「一個壞掉的依賴如何掌控你的基礎設施」

4. 漏洞管理作戰室

💣 入侵模擬:

  • 利用未修補的容器漏洞進行攻擊

🛡️ 防禦策略:

  • 使用 OWASP DefectDojo 集中報告
  • 使用 Trivy 掃描容器

🧪 實作:為 CISO/高管報告建置即時儀表板

🏁 競賽:「比競爭者更快地分類50項發現」

5. 密碼與配置緊急演練

💣 入侵模擬:

  • 使用 truffleHog 從 Git 歷史中竊取密碼

🛡️ 防禦策略:

  • 使用預提交鉤子阻擋如 password=.* 的敏感模式
  • 使用 ZAP 的配置蜘蛛程式揭露危險設定

🧪 實作:實施 GitHub Actions 密碼掃描

🚨 現實檢核:「你的資料庫密碼現在就在 Slack 裡」

6. 總結:DevSecOps 作戰計畫

🧭 OWASP 整合路線圖:

  • 規劃您的 DefectDojo、Dependency-Track 和 ZAP 導入策略

📋 個人行動計畫:

  • 草擬您的30天安全檢查清單
  • 定義您的 DevSecOps KPIs 與報告儀表板

最低要求

具備基礎軟體開發與 SDLC 經驗

適用對象

DevOps、安全與雲端工程師,偏愛實務操作而厭煩理論講義者

 7 小時

客戶評論 (2)

課程分類