Fondamentaux de DevSecOps – y compris des démonstrations pratiques
Le cours complet couvrant ce que vous devez savoir pour démarrer dans DevSecOps et exactement comment le faire !
Outils DevSecOps, par exemple SAST, DAST, SCA expliqués
Comment ajouter des tests de sécurité aux pipelines - transformer un pipeline DevOps en pipeline DevSecOps
Des principes clés de sécurité expliqués tels que la défense en profondeur et le moindre privilège
YAML expliqué et comment l'utiliser dans les pipelines CI/CD
Qu'est-ce que l'OWASP et les principaux projets OWASP expliqués tels que OWASP Top 10 et ASVS
Autres organisations et projets clés liés à la sécurité tels que CISA, CVE et benchmarks CIS
Les fondamentaux de la sécurité sous Linux expliqués
Ce sur quoi vous devez vous concentrer pour activer les tests de sécurité dans les pipelines CI/CD
Docker expliqué. Comment utiliser, construire et sécuriser des conteneurs Docker
Terraform expliqué. Comment utiliser et sécuriser votre code Terraform
Comment sécuriser vos dépendances
Jenkins expliqué. Comment utiliser et sécuriser vos instances Jenkins
Et bien plus encore, par exemple comment sécuriser les en-têtes TLS, SSH, HTTP et plus !
Ce cours couvrira tout ce que vous devez savoir pour démarrer et réussir dans DevSecOps. Le cours est composé de démonstrations pratiques/de procédures pas à pas, de quiz et de présentations. Le cours comprend également un code source téléchargeable et des liens à tous les outils et sites mentionnés afin que vous puissiez les utiliser dans votre environnement local et suivre à votre rythme. Les principaux sujets abordés sont :
- Qu’est-ce que DevSecOps et comment démarrer.
- Explications, démonstrations pratiques et présentations d’outils importants tels que SAST, DAST et SCA.
- Transformez un pipeline DevOps en un pipeline DevSecOps (exemples de pipelines GitLab YAML avec YAML fourni ).
- Explication des tests d’intrusion et des évaluations de vulnérabilité et comment ils s’alignent sur DevSecOps.
- Les principes de sécurité clés expliqués tels que Triade de la CIA, défense en profondeur et moindre privilège.
- Organisations de sécurité clés telles que OWASP, CIS et CISA.
- Projets de sécurité clés tels que OWASP Top 10 2021, OWASP ZAP, OWASP ASVS, CVE’s, CVSS.
- Les fondamentaux de la sécurité Linux couvrant des sujets tels que sudo, SSH, autorisations de fichiers, mises à jour et plus.
- Docker expliqué, démonstrations pratiques, y compris comment créer vos propres conteneurs et recommandations pour s’assurer qu’ils fonctionnent en toute sécurité (y compris également udes code source téléchargeable pour construire votre propre conteneur Docker pour vous tester !).
- Terraform expliqué, démos pratiques et recommandations pour s’assurer qu’il est mis en œuvre en toute sécurité.
- Jenkins a expliqué, démos pratiques et recommandations pour s’assurer qu’il est mis en œuvre et fonctionne en toute sécurité.
Également inclus pour vous aider dans votre apprentissage du cours :
- Code source téléchargeable pour que vous puissiez suivez les démonstrations pratiques localement, par ex. code source/conteneurs personnalisés fournis, ce qui vous permet également d’exécuter des outils DevSecOps.
- Liens vers tous les outils, projets et organisations mentionnés afin que vous puissiez facilement rechercher et télécharger tous les outils à votre environnement local.
- Quiz de fin de module à choix multiples pour aider à renforcer l’apprentissage.
À la fin du cours, vous :
Avoir une compréhension fondamentale de DevSecOps, y compris les problèmes courants de sécurité des applications Web (tels que ceux du Top 10 de l’OWASP) , la sécurité Linux, comment utiliser et implémenter les outils DevSecOps, et quels projets et organisations clés référencer afin que vous puissiez comprendre et hiérarchiser les problèmes les plus importants détectés dans vos pipelines CI/CD DevSecOps.
Introduction
1
What we will cover / course contents
2
Meet your instructor
3
What is DevSecOps?
4
Linux environment
Testing, Tooling and Principles
1
Introduction
2
SAST
3
SAST hands-on demo
4
DAST
5
DAST hands-on demo
6
SCA
7
SCA hands-on demo
8
Penetration testing
9
Vulnerability assessment
10
Key security principles
Defense in depth
Least privilege
Authentication vs authorisation
11
Confidentiality integrity and availability (CIA Triad)
12
End of module quiz
Organisations & Projects
1
Introduction
2
OWASP
3
OWASP ZAP
4
OWASP Top 10 (2021)
5
OWASP ASVS
6
OWASP ASVS hands-on demo
7
OWASP Cheatsheets
8
OWASP Cheatsheets hands-on demo
9
CIS benchmarks
10
CIS controls
11
CIS benchmarks and controls hands-on demo
12
CVEs
13
CVSS
14
CISA
15
End of module quiz
Linux Security Fundamentals
1
Introduction
2
File permissions and ownership
3
chmod explained hands-on demo
4
File permissions hands-on demo
5
passwd file explaned
6
shadow file explained
7
group file explained
8
sudo explained
9
sudo hands-on demo
10
Privilege escalation explained
11
apt-get & apt explained
12
Automatic updates explained
13
SSH explained
14
SSH recommendations
15
SSH Mozilla recommendations hands-on demo
16
Useful commands
17
End of module quiz
Docker
1
Docker explained
2
Docker registries
3
Dockerfiles
4
Docker commands
5
Docker recommendations
6
Docker hands-on demo
7
End of module quiz
Terraform
1
Terraform explained
2
Terraform recommendations
3
Terraform hands-on demo
4
End of module quiz
Jenkins
1
Jenkins explained
2
Jenkins recommendations
3
Jenkins hands-on demo
4
End of module quiz
Pipelines
1
YML explained
2
Standard pipeline hands-on demo
3
Security testing pipeline hands-on demo
4
End of module quiz
Course Summary
1
Course summary
Vous pouvez afficher et ru00e9viser les supports de cours indu00e9finiment, comme une chau00eene u00e0 la demande.
Absolumentu00a0! Si vous disposez d'une connexion Internet, les cours sur WeCours sont disponibles u00e0 tout moment sur n'importe quel appareil. Si vous n'avez pas de connexion Internet, certains instructeurs permettent u00e9galement u00e0 leurs u00e9tudiants de tu00e9lu00e9charger les cours. instructeur, alors assurez-vous d'u00eatre du bon cu00f4tu00e9u00a0!
