感謝您提交詢問!我們的一位團隊成員將在短時間內與您聯繫。
感謝您提交預訂!我們的一位團隊成員將在短時間內與您聯繫。
課程簡介
1. DevSecOps 基礎:安全內建
🔍 學習內容:核心 DevSecOps 原則與安全 SDLC
🛠️ 實演:傳統管道與現代安全管道的對比分析
🔧 實作:建立您的第一個 DevSecOps 啟用管道範本
2. OWASP ZAP 安全測試強化營
💣 入侵模擬:
- 部署具有 SQLi 與 XSS 漏洞的應用程式
- 使用 OWASP ZAP 偵測並緩解威脅
⚙️ 防禦策略:
- 透過 ZAP 進行自動化掃描
- 透過 ZAP API 整合至 CI/CD 流程
🧪 實作:自訂 ZAP 基準掃描與攻擊規則
🎯 挑戰:「10分鐘內找出隱藏的管理員後台」
3. 依賴地獄:供應鏈防禦
💣 入侵模擬:
- 注入包含 CVE 漏洞的惡意 npm 套件
🛡️ 防禦策略:
- 使用 OWASP Dependency-Track 監控漏洞
- 強制執行政策閘門,對嚴重 CVE 阻斷构建
🧪 實作:建立漏洞政策與警報工作流
⚠️ 震撼實演:「一個壞掉的依賴如何掌控你的基礎設施」
4. 漏洞管理作戰室
💣 入侵模擬:
- 利用未修補的容器漏洞進行攻擊
🛡️ 防禦策略:
- 使用 OWASP DefectDojo 集中報告
- 使用 Trivy 掃描容器
🧪 實作:為 CISO/高管報告建置即時儀表板
🏁 競賽:「比競爭者更快地分類50項發現」
5. 密碼與配置緊急演練
💣 入侵模擬:
- 使用 truffleHog 從 Git 歷史中竊取密碼
🛡️ 防禦策略:
- 使用預提交鉤子阻擋如
password=.*的敏感模式 - 使用 ZAP 的配置蜘蛛程式揭露危險設定
🧪 實作:實施 GitHub Actions 密碼掃描
🚨 現實檢核:「你的資料庫密碼現在就在 Slack 裡」
6. 總結:DevSecOps 作戰計畫
🧭 OWASP 整合路線圖:
- 規劃您的 DefectDojo、Dependency-Track 和 ZAP 導入策略
📋 個人行動計畫:
- 草擬您的30天安全檢查清單
- 定義您的 DevSecOps KPIs 與報告儀表板
最低要求
具備基礎軟體開發與 SDLC 經驗
適用對象
DevOps、安全與雲端工程師,偏愛實務操作而厭煩理論講義者
7 小時
客戶評論 (2)
Craig在培訓中非常投入,始終確保我們保持專注,將示例調整到我們的日常活動中,並在被提問時總是提供答案,即使信息未在演示中提及。
Ecaterina Ioana Nicoale - BOOKING HOLDINGS ROMANIA SRL
課程 - DevOps Foundation®
機器翻譯
培訓師的高度承諾和專業知識
Jacek - Softsystem
課程 - DevOps Engineering Foundation (DOEF)®
機器翻譯