Schița de curs
1. Fundamentele DevSecOps: Securitate prin Design
🔍 Învață: Principiile de bază ale DevSecOps și SDLC securizat
🛠️ Demo: Comparație directă între pipeline-uri tradiționale și cele moderne securizate
🔧 Laborator: Construiește primul tău șablon de pipeline activat pentru DevSecOps
2. Bootcamp de Testare de Securitate OWASP ZAP
💣 Simulare de Breșă:
- Implementează o aplicație vulnerabilă cu SQLi și XSS
- Folosește OWASP ZAP pentru a detecta și atenua amenințările
⚙️ Tactici de Apărare:
- Scanare automată cu ZAP
- Integrare CI/CD prin API-ul ZAP
🧪 Laborator: Personalizează scanările de bază ZAP + reguli de atac
🎯 Provocare: “Găsește panoul de administrare ascuns în 10 minute”
3. Iadul Dependințelor: Apărarea Lanțului de Aprovizionare
💣 Simulare de Breșă:
- Injectează un pachet npm malitios cu CVE-uri
🛡️ Tactici de Apărare:
- Monitorizează vulnerabilitățile cu OWASP Dependency-Track
- Implementează politici care blochează build-urile pentru CVE-uri critice
🧪 Laborator: Creează politici de vulnerabilitate și fluxuri de alertă
⚠️ Demo șocant: “Cum un singur pachet defectuos poate prelua controlul asupra infrastructurii tale”
4. Camera de Război pentru Managementul Vulnerabilităților
💣 Simulare de Breșă:
- Exploatează vulnerabilități nepatchate în containere
🛡️ Tactici de Apărare:
- Centralizează raportarea cu OWASP DefectDojo
- Scanează containerele cu Trivy
🧪 Laborator: Construiește dashboard-uri reale pentru raportare către CISO/executivi
🏁 Competiție: “Triage 50 de constatări mai repede decât rivalii tăi”
5. Exercițiu de Urgență pentru Secrete și Configurații
💣 Simulare de Breșă:
- Extrage secrete din istoricul Git folosind truffleHog
🛡️ Tactici de Apărare:
- Pre-commit hooks pentru a bloca modele precum
password=.* - Folosește spider-ul de configurare ZAP pentru a identifica setări periculoase
🧪 Laborator: Implementează scanarea secretelor cu GitHub Actions
🚨 Verificare de realitate: “Parola ta de la baza de date este chiar acum pe Slack”
6. Încheiere: Planul de Bătălie DevSecOps
🧭 Plan de Integrare OWASP:
- Planifică adoptarea DefectDojo, Dependency-Track și ZAP
📋 Plan de Acțiune Personal:
- Elaborează lista ta de verificare de securitate pe 30 de zile
- Definește KPI-urile tale DevSecOps și dashboard-urile de raportare
Cerințe
Experiență de bază în software și SDLC
Public țintă
Ingineri DevOps, Securitate și Cloud care nu le plac discuțiile teoretice despre securitate
Mărturii (2)
Craig a fost extrem de implicat în instruire, mereu asigurându-se că suntem atenți, adaptând exemplele la activitățile noastre zilnice și mereu oferind un răspuns când era întrebat, chiar dacă informația nu era inclusă în prezentare.
Ecaterina Ioana Nicoale - BOOKING HOLDINGS ROMANIA SRL
Curs - DevOps Foundation®
Tradus de catre o masina
Un grad ridicat de angajament și cunoștințe al instrucționarului
Jacek - Softsystem
Curs - DevOps Engineering Foundation (DOEF)®
Tradus de catre o masina
