感谢您发送咨询!我们的团队成员将很快与您联系。
感谢您发送预订!我们的团队成员将很快与您联系。
课程大纲
1. DevSecOps 基础:安全设计
🔍 学习:核心 DevSecOps 原则与安全 SDLC
🛠️ 演示:传统与现代安全管道的并排比较
🔧 实验:构建您的第一个支持 DevSecOps 的管道模板
2. OWASP ZAP 安全测试训练营
💣 漏洞模拟:
- 部署一个包含 SQLi 和 XSS 漏洞的 app
- 使用 OWASP ZAP 检测并缓解威胁
⚙️ 防御策略:
- 使用 ZAP 进行自动化扫描
- 通过 ZAP API 集成 CI/CD
🧪 实验:自定义 ZAP 基线扫描与攻击规则
🎯 挑战:“在 10 分钟内找到隐藏的管理面板”
3. 依赖地狱:供应链防御
💣 漏洞模拟:
- 注入带有 CVE 的恶意 npm 包
🛡️ 防御策略:
- 使用 OWASP Dependency-Track 监控漏洞
- 在关键 CVE 上强制实施导致构建失败的政策门
🧪 实验:创建漏洞政策与警报工作流
⚠️ 震撼演示:“一个坏的依赖如何掌控您的基础设施”
4. 漏洞 Management 战情室
💣 漏洞模拟:
- 利用未修补的容器漏洞
🛡️ 防御策略:
- 使用 OWASP DefectDojo 集中报告
- 使用 Trivy 扫描容器
🧪 实验:构建真实的 CISO/高管报告仪表板
🏁 竞赛:“比对手更快地处理 50 个发现”
5. 密钥与配置消防演习
💣 漏洞模拟:
- 使用 truffleHog 从 Git 历史中提取密钥
🛡️ 防御策略:
- 使用预提交钩子阻止类似
password=.*的模式 - 使用 ZAP 的配置蜘蛛暴露危险设置
🧪 实验:实施 GitHub Actions 密钥扫描
🚨 现实检查:“您的数据库密码现在就在 Slack 中”
6. 总结:DevSecOps 战斗计划
🧭 OWASP 集成路线图:
- 规划您的 DefectDojo、Dependency-Track 和 ZAP 采用
📋 个人行动计划:
- 起草您的 30 天安全检查清单
- 定义您的 DevSecOps KPI 与报告仪表板
要求
基础软件与SDLC经验
受众
DevOps,讨厌理论安全讨论的安全与云工程师
7 小时
客户评论 (1)
有许多实用练习,由培训师监督和协助。
Aleksandra - Fundacja PTA
课程 - Mastering Make: Advanced Workflow Automation and Optimization
机器翻译
