INT_DEVSECOPS
Data Base
Introducción a DevSecOps
24 horas
Nível: Data Base
Presencial (SP) e Online
Introdução
En este curso tendrá laboratorios prácticos con pruebas y software de código abierto.
Nos concentraremos en cómo puede agregar una DAST (herramienta de prueba de seguridad de aplicaciones dinámicas) en su CI/CD (canalización de DevOps) con éxito. Agregar una herramienta que no está ajustada, la herramienta incorrecta, una herramienta con un alcance infinito, etc., puede hacer que una canalización se ejecute durante mucho tiempo, crear toneladas de falsos positivos o incluso romper su servidor de aplicaciones. Queremos que tenga éxito.
Cubriremos varias formas en que puede usar una herramienta DAST (también conocida como escáner de aplicaciones web, proxy web, escáner dinámico, herramienta de piratería ética o incluso \"escáner pew pew\"). No necesita poner todo en un CI/CD solo porque puede hacerlo. ¡Cubriremos todas las formas en que se puede usar una herramienta como esta!
Configuraremos todo para un escaneo exitoso, le presentaremos Nexploit (el escáner DAST que usaremos), GitHub Actions (el CI/CD que usaremos) y Broken Crystals (la aplicación vulnerable que usaremos).
¡Escanearemos todas las cosas! Configuraremos 3 tipos de escaneos (aplicación web regular, escaneo API y escaneo de archivos HAR), registraremos un archivo HAR y exploraremos cada tipo de prueba que podamos hacer. También cubriremos qué pruebas debe hacer para varios tipos de aplicaciones, para que pueda hacer el escaneo lo más rápido posible, mientras se asegura de cubrir todas sus bases.
Revisaremos todos los resultados de nuestro(s) escaneo(s) y hablaremos sobre cómo remediar los resultados. Habrá muchos resultados para que los revisemos.
Haremos un resumen rápido y le ofreceremos los recursos para que continúe con su aprendizaje.
Nos concentraremos en cómo puede agregar una DAST (herramienta de prueba de seguridad de aplicaciones dinámicas) en su CI/CD (canalización de DevOps) con éxito. Agregar una herramienta que no está ajustada, la herramienta incorrecta, una herramienta con un alcance infinito, etc., puede hacer que una canalización se ejecute durante mucho tiempo, crear toneladas de falsos positivos o incluso romper su servidor de aplicaciones. Queremos que tenga éxito.
Cubriremos varias formas en que puede usar una herramienta DAST (también conocida como escáner de aplicaciones web, proxy web, escáner dinámico, herramienta de piratería ética o incluso \"escáner pew pew\"). No necesita poner todo en un CI/CD solo porque puede hacerlo. ¡Cubriremos todas las formas en que se puede usar una herramienta como esta!
Configuraremos todo para un escaneo exitoso, le presentaremos Nexploit (el escáner DAST que usaremos), GitHub Actions (el CI/CD que usaremos) y Broken Crystals (la aplicación vulnerable que usaremos).
¡Escanearemos todas las cosas! Configuraremos 3 tipos de escaneos (aplicación web regular, escaneo API y escaneo de archivos HAR), registraremos un archivo HAR y exploraremos cada tipo de prueba que podamos hacer. También cubriremos qué pruebas debe hacer para varios tipos de aplicaciones, para que pueda hacer el escaneo lo más rápido posible, mientras se asegura de cubrir todas sus bases.
Revisaremos todos los resultados de nuestro(s) escaneo(s) y hablaremos sobre cómo remediar los resultados. Habrá muchos resultados para que los revisemos.
Haremos un resumen rápido y le ofreceremos los recursos para que continúe con su aprendizaje.
Objetivo do curso
Puede estar pensando: \"¿Por qué estoy aquí? Soy un desarrollador, no necesito saber cómo usar herramientas de seguridad\".
El mundo está cambiando y la seguridad se está volviendo más importante que nunca. Un desarrollador de software, un miembro del equipo de control de calidad, un profesional de seguridad de TI o un administrador de sistemas que sepa cómo escanear una aplicación web en busca de vulnerabilidades, es un gran activo para cualquier organización centrada en la tecnología.
Si está creando software usted mismo, este conjunto de habilidades puede ayudarlo a garantizar que sus aplicaciones sean seguras de usar, y sus clientes no se sorprenderán con un informe de un probador de penetración que encuentra cien cosas mal, porque tendrá ya solucionados todos los problemas obvios antes de tiempo. Además, las aplicaciones de escaneo son simplemente divertidas, como verá a medida que avanza en este curso.
El mundo está cambiando y la seguridad se está volviendo más importante que nunca. Un desarrollador de software, un miembro del equipo de control de calidad, un profesional de seguridad de TI o un administrador de sistemas que sepa cómo escanear una aplicación web en busca de vulnerabilidades, es un gran activo para cualquier organización centrada en la tecnología.
Si está creando software usted mismo, este conjunto de habilidades puede ayudarlo a garantizar que sus aplicaciones sean seguras de usar, y sus clientes no se sorprenderán con un informe de un probador de penetración que encuentra cien cosas mal, porque tendrá ya solucionados todos los problemas obvios antes de tiempo. Además, las aplicaciones de escaneo son simplemente divertidas, como verá a medida que avanza en este curso.
Público-alvo
Profesionales que buscan conocimiento en Introducción a DevSecOps
Pré-requisitos
Conocer los fundamentos de la Nube, haber participado en algún proyecto de Nube en cualquier arquitectura tanto Pública como Privada e Híbrida; deseos de superación y hambre de colaborar con los compañeros para participar en laboratorios y retos.
Conteúdo programático
Capítulo 1. Introducción a DevOps
Capítulo 2. Toolchain DevOps
Capítulo 3. Camino a DevSecOps
Capítulo 4. S-SDLC integrado con CI/CD
Capitulo 5. Static Application Security Testing (SAST)
Capitulo 6. Software Composition Analysis (SCA)
Capitulo 7. Dynamic Application Security Testing (DAST)
Capitulo 8. Seguridad en Infrastructure as Code
Capitulo 9. Seguridad en Contenedores
Capitulo 10. Cumplimiento como Código
Capítulo 2. Toolchain DevOps
Capítulo 3. Camino a DevSecOps
Capítulo 4. S-SDLC integrado con CI/CD
Capitulo 5. Static Application Security Testing (SAST)
Capitulo 6. Software Composition Analysis (SCA)
Capitulo 7. Dynamic Application Security Testing (DAST)
Capitulo 8. Seguridad en Infrastructure as Code
Capitulo 9. Seguridad en Contenedores
Capitulo 10. Cumplimiento como Código
Próximas turmas
Não há turmas abertas no momento. Entre em contato para verificar disponibilidade ou agendar turma fechada.
Solicitar Inscrição / Cotação Consultar via WhatsApp