КІРАВАННЕ ІТ-ПАСЛУГАМІ І DEVOPS

Практычны прафесіянал DevSecOps

УКЛЮЧЭННІ	Даўжыня	цана (з падаткам на тавары і тавары)
Экзаменацыйны ваўчар	60-дзённы доступ да лабараторыі	$1,430

ПРАКТЫЧНЫЯ РАЗРАБІРЧЫКІ НА ПРАЦЫ LUMIFY
Practical DevSecOps з'яўляюцца піянерамі DevSecOps. Вывучыце канцэпцыі, інструменты і метады DevSecOps ад экспертаў галіны і авалодайце рэальнымі навыкамі ў самых сучасных анлайн-лабараторыях. Прадэманструйце свой вопыт арганізацыям, атрымаўшы сертыфікат DevSecOps, валодаючы ведамі, заснаванымі на задачах, а не тэорыяй.
Lumify Work з'яўляецца афіцыйным навучальным партнёрам Practical DevSecOps.

ЧАМУ ВЫВУЧАЦЬ ГЭТЫ КУРС

Мы ўсе чулі пра DevSecOps, Shifting Left, Rugged DevOps, але няма дакладных выкаampфайлы або фрэймворкі, даступныя спецыялістам па бяспецы для ўкаранення ў іх арганізацыі.
Гэты практычны курс навучыць вас менавіта гэтаму - інструментам і метадам убудавання бяспекі як часткі канвеера DevOps. Мы даведаемся, як такія аднарогі, як Google, Facebook, Amazon і Etsy, забяспечваюць бяспеку ў маштабе і чаму мы можам навучыцца ў іх, каб удасканаліць нашы праграмы бяспекі.
На навучанні DevSecOps Professional вы даведаецеся, як кіраваць бяспекай у маштабе з дапамогай практык DevSecOps. Мы пачнем з асноў DevOps і DevSecOps, затым пяройдзем да прасунутых канцэпцый, такіх як бяспека як код, адпаведнасць патрабаванням як код, кіраванне канфігурацыяй, інфраструктура як код і многае іншае.

Гэты самастойны курс дасць вам:
Доступ да жыцця і імя:

• Дапаможнік па курсах
• Відэаролікі курсаў і кантрольныя спісы
• 30-хвілінны занятак з інструктарамі
• Доступ да спецыяльнага слэк-канала
• 30+ практыкаванняў пад кіраўніцтвам

Лабараторыя і экзамен:

• 60 дзён доступу да лабараторыі праз браўзер
• Адна спроба іспыту для сертыфікацыі Certified DevSecOps Professional (CDP).

Мой інструктар быў выдатным, бо змог змясціць сцэнарыі ў рэальныя выпадкі, звязаныя з маёй канкрэтнай сітуацыяй.
З таго моманту, як я прыбыў, я адчуваў сябе гасцінна, і магчымасць сядзець групай за межамі класа, каб абмеркаваць нашы сітуацыі і нашы мэты, была надзвычай каштоўнай.
Я шмат чаму навучыўся і палічыў важным, каб мае мэты, наведваючы гэты курс, былі дасягнуты.
Выдатная праца Lumify Work team.

АМАНДА НІКОЛЬ
МЕНЕДЖЭР СЛУЖБ ІТ-ПАДТРЫМКІ – ЗДАРОЎЕ H WORLD LIMIT ED

Што вы даведаецеся

• Стварыце культуру абмену і супрацоўніцтва паміж зацікаўленымі бакамі
• Павялічце намаганні каманды бяспекі, каб паменшыць паверхню атакі
• Убудаваць бяспеку як частку DevOps і CI/CD
• Запусціце або дапрацуйце сваю праграму бяспекі прыкладанняў, выкарыстоўваючы сучасныя метады Secure SDLC
• Умацоўвайце інфраструктуру з дапамогай інфраструктуры ў якасці кода і падтрымлівайце адпаведнасць з дапамогай інструментаў і метадаў адпаведнасці ў якасці кода
• Кансалідуйце і суадносіце ўразлівасці для маштабавання прытворнададатнага аналізу з дапамогай аўтаматызаваных інструментаў

Індывідуальнае навучанне Lumify Work
Мы таксама можам правесці і наладзіць гэты навучальны курс для вялікіх груп, зэканоміўшы час, грошы і рэсурсы вашай арганізацыі.
Для атрымання дадатковай інфармацыі, калі ласка, звяжыцеся з намі па тэлефоне 1 800 853 276.

ПРАДМЕТЫ КУРСА

Унутраны прадукт для DevOps і DevSecOps

• Што такое DevOps?
• Будаўнічыя блокі DevOps - людзі, працэсы і тэхналогіі
• Прынцыпы DevOps - культура, аўтаматызацыя, вымярэнне і абмен (CAMS)
• Перавагі DevOps - хуткасць, надзейнасць, даступнасць, маштабаванасць, аўтаматызацыя, кошт і бачнасць
• Што такое бесперапынная інтэграцыя і бесперапыннае разгортванне?
• Ад бесперапыннай інтэграцыі да бесперапыннага разгортвання да бесперапыннай пастаўкі
• Бесперапынная пастаўка супраць бесперапыннага разгортвання
• Агульны працоўны працэс канвеера CI/CD
• Сіне-зялёная стратэгія разгортвання
• Дасягненне поўнай аўтаматызацыі
• Праектаванне канвеера CI/CD для a web прымяненне
• Агульныя праблемы, з якімі сутыкаюцца пры выкарыстанні прынцыпу DevOps
• Тэматычныя даследаванні DevOps перадавых тэхналогій у Facebook, Amazon і Google
• Дэманстрацыя: поўны канвеер DevSecOps карпаратыўнага ўзроўню

Int rodion да інструментаў гандлю

• Github/Gitlab/Bitbucket
• Докер
• Рэестр докераў
• Ансібль
• Джэнкінс/Трэвіс/Gitlab CI/Bitbucket
• Гонтлт
• інспекцыя
• Бандыт /retireJS/Nmap
• Практычная лабараторыя: выкарыстоўвайце Vagrant, каб практыкаваць інфраструктуру як код
• Практычная лабараторыя: стварэнне канвеера CI з выкарыстаннем Jenkins/Travis і GitHub/Bitbucket
• Практычная лабараторыя: выкарыстоўвайце прыведзеныя вышэй інструменты для стварэння поўнага канвеера CI/CD

Бяспечны канвеер SDLC і CI/CD

• Што такое Secure SDLC?
• Бяспечныя дзеянні SDLC і вароты бяспекі
• Патрабаванні бяспекі (Патрабаванні)
• Мадэляванне пагроз (дызайн)
• Статычны аналіз і абарона па змаўчанні (укараненне)
• Дынамічны аналіз (тэставанне)
• Загартоўка АС, Web/Умацаванне прыкладанняў (разгортванне)
• Маніторынг бяспекі/адпаведнасць (падтрыманне)
• Мадэль сталасці DevSecOps (DSOMM)
• Ўзроўні сталасці і задачы, звязаныя
• 4 -восі ў ДСОММ
• Як перайсці ад узроўню сталасці 1 да ўзроўню сталасці 4
• Лепшыя практыкі для ўзроўню сталасці 1
• Меркаванні для ўзроўню сталасці 2
• Праблемы на ўзроўні сталасці 3
• Мара дасягнуць 2-га ўзроўню сталасці
• Выкарыстанне інструментаў гандлю для выканання вышэйзгаданых дзеянняў у CI/CD
• Убудаванне бяспекі як часткі канвеера CI/CD
• DevSecOps і праблемы з пентэстам і ацэнкай уразлівасці
• Практычная лабараторыя: Стварыце канвеер CI/CD, прыдатны для сучасных прыкладанняў
• Практычная лабараторыя: кіруйце высновамі ў цалкам аўтаматызаваным канвееры

Аналіз кампанентаў праграмнага забеспячэння (SCA) у канвееры CI/CD

• Што такое аналіз кампанентаў праграмнага забеспячэння?
• Аналіз кампанентаў праграмнага забеспячэння і яго праблемы
• Што шукаць у рашэнні SCA (бясплатным або камерцыйным)
• Убудаванне інструментаў SCA, такіх як OWASP Dependency Checker, Safety, RetireJs і NPM Audit, Snyk у канвеер
• Дэманстрацыя: выкарыстанне праверкі залежнасцей OWASP для сканавання ўразлівасцяў старонніх кампанентаў у Java® Code Base
• Практычная лабараторыя: выкарыстанне RetireJS і NPM для сканавання ўразлівасцяў старонніх кампанентаў у JavaScript Code Base
• Практычная лабараторыя: выкарыстанне Safety/pip для сканавання ўразлівасцяў старонніх кампанентаў у Python Code Base

SAST (St at ic Analysis) у CI/CD Pipeline

• Што такое статычнае тэсціраванне бяспекі прыкладання?
• Статычны аналіз і яго праблемы
• Убудаванне інструментаў SAST у канвеер
• Сканаванне сакрэтаў для прадухілення раскрыцця сакрэтаў у кодзе
• Напісанне карыстацкіх чэкаў для выяўлення ўцечкі сакрэтаў у арганізацыі
• Практычная лабараторыя: выкарыстанне SpotBugs для сканавання кода Java
• Практычная лабараторыя: выкарыстанне Trufflehog/Gitrob для пошуку сакрэтаў у канвееры CI/CD
• Практычная лабараторыя: выкарыстанне Brakeman/Bandit для сканавання Ruby on Rails і Python Code Base

DAST (дынамічны аналіз) у канвееры CI/CD

• Што такое дынамічнае тэставанне бяспекі прыкладання?
• Дынамічны аналіз і яго праблемы (кіраванне сесіямі, сканаванне AJAX)
• Убудаванне інструментаў DAST, такіх як ZAP і Burp Suite, у канвеер
• Тэставанне няправільнай канфігурацыі SSL
• Тэставанне няправільнай канфігурацыі сервера, напрыклад, сакрэтных тэчак і files
• Тэставанне Sqlmap на ўразлівасці SQL Injection
• Практычная лабараторыя: выкарыстанне ZAP для канфігурацыі кожных фіксацый / штотыднёвых / штомесячных сканаванняў
• Дэманстрацыя: выкарыстанне Burp Suite для канфігурацыі сканіраванняў на фіксацыю / штотыдзень / штомесяц

Inf rast ruct ure as Code and It s Security

• Што такое інфраструктура як кодэкс і яе перавагі?
• Платформа + Вызначэнне інфраструктуры + Кіраванне канфігурацыяй
• Уводзіны ў Ansible
• Перавагі Ansible
• Сістэмы кіравання канфігурацыяй на аснове Push і Pull
• Модулі, заданні, ролі і падручнікі
• Інструменты і паслугі, якія дапамагаюць дасягнуць IaaC
• Практычная лабараторыя: Vagrant, Docker і Ansible
• Практычная лабараторыя: выкарыстанне Ansible для стварэння залатых малюнкаў і ўмацавання інфраструктуры

Адпаведнасць як кодэкс

• Розныя падыходы да выканання патрабаванняў адпаведнасці ў маштабе DevOps
• Выкарыстанне кіравання канфігурацыяй для дасягнення адпаведнасці
• Кіруйце адпаведнасцю з дапамогай Inspec/OpenScap at Scale
• Практычная лабараторыя: Стварыце Inspec profile каб стварыць праверкі адпаведнасці для вашай арганізацыі
• Практычная лабараторыя: выкарыстоўвайце Inspec profile для маштабавання адпаведнасці

Кіраванне ўразлівасцямі з дапамогай індывідуальных інструментаў

• Падыходы да кіравання ўразлівасцямі ў арганізацыі
• Практычная лабараторыя: Выкарыстанне Defect Dojo для кіравання ўразлівасцямі

ДЛЯ КАГО КУРС?

Гэты курс прызначаны для ўсіх, хто хоча ўбудаваць бяспеку ў гнуткія/воблачныя асяроддзя DevOps, такіх як спецыялісты па бяспецы, тэсціроўшчыкі пранікнення, ІТ-менеджэры, распрацоўшчыкі і інжынеры DevOps.

ПЕРАДУМОВЫ

Для праходжання гэтага курса няма неабходных перадумоў, аднак студэнтам будзе карысна мець базавыя веды каманд Linux, такіх як ls, cd, mkdir і г.д., а таксама метадаў бяспекі прыкладанняў, такіх як OWASP Top 10.

Пастаўка гэтых курсаў Lumify Work рэгулюецца ўмовамі браніравання. Калі ласка, уважліва прачытайце палажэнні і ўмовы, перш чым паступіць на гэты курс, бо залічэнне на курсы залежыць ад прыняцця гэтых палажэнняў і ўмоў.

https://www.lumifywork.com/en-au/courses/practical-devsecops-professional/Патэлефануйце па нумары 1800 853 276 і паразмаўляйце з кансультантам па працы Lumify сёння!
 training@lumifywork.com
 lumifywork.com
 facebook.com/LumifyWorkAU
 linkedin.com/company/lumify-work
 twitter.com/LumifyWorkAU
 youtube.com/@lumifywork

Дакументы / Рэсурсы

LUMIFY WORK Самастойны практычны DevSecOps Professional [pdfКіраўніцтва карыстальніка Самастойны практычны DevSecOps Professional, Paced Practical DevSecOps Professional, Практычны DevSecOps Professional, DevSecOps Professional, Professional

Спасылкі

• Кіраўніцтва карыстальніка