感謝您提交詢問!我們的一位團隊成員將在短時間內與您聯繫。
感謝您提交預訂!我們的一位團隊成員將在短時間內與您聯繫。
課程簡介
1. DevSecOps基礎:設計安全
🔍 學習:核心DevSecOps原則與安全SDLC
🛡️ 演示:傳統與現代安全管道的並排比較
🔧 實驗:構建您的第一個DevSecOps啓用的管道模板
2. OWASP ZAP安全測試訓練營
💣 漏洞模擬:
- 部署一個包含SQL注入和XSS的易受攻擊應用
- 使用OWASP ZAP檢測和緩解威脅
⚙️ 防禦策略:
- 使用ZAP進行自動掃描
- 通過ZAP API集成CI/CD
🧪 實驗:自定義ZAP基線掃描與攻擊規則
🎯 挑戰:“在10分鐘內找到隱藏的管理面板”
3. 依賴地獄:供應鏈防禦
💣 漏洞模擬:
- 注入帶有CVE的惡意npm包
🛡️ 防禦策略:
- 使用OWASP Dependency-Track監控漏洞
- 執行策略門,在關鍵CVE上失敗構建
🧪 實驗:創建漏洞策略與警報工作流
⚠️ 震撼演示:“一個錯誤的依賴如何控制您的基礎設施”
4. 漏洞管理戰情室
💣 漏洞模擬:
- 利用未修補的容器漏洞
🛡️ 防禦策略:
- 使用OWASP DefectDojo集中報告
- 使用Trivy掃描容器
🧪 實驗:爲CISO/高管構建即時儀表板
🏁 競賽:“比對手更快處理50個發現”
5. 密鑰與配置消防演習
💣 漏洞模擬:
- 使用truffleHog從Git歷史中泄露密鑰
🛡️ 防禦策略:
- 使用預提交鉤子阻止類似
password=.*的模式 - 使用ZAP的配置蜘蛛暴露危險設置
🧪 實驗:實現GitHub Actions密鑰掃描
🚨 現實檢查:“您的數據庫密碼現在就在Slack中”
6. 總結:DevSecOps戰鬥計劃
🧭 OWASP集成路線圖:
- 規劃您的DefectDojo、Dependency-Track和ZAP採用
📋 個人行動計劃:
- 起草您的30天安全檢查清單
- 定義您的DevSecOps KPI和報告儀表板
最低要求
基礎的軟件和SDLC經驗
受衆
DevOps、安全和雲工程師,討厭理論安全討論
7 時間:
客戶評論 (1)
有許多實用練習,由培訓師監督和協助。
Aleksandra - Fundacja PTA
課程 - Mastering Make: Advanced Workflow Automation and Optimization
機器翻譯
