LUMIFY WORK Praktický odborník na DevSecOps s vlastním tempem

Informace o produktu

• Název produktu: Praktické DevSecOps Expert Samostatné tempo
• Obsahuje: Poukaz na zkoušku
• Délka: 60denní přístup do laboratoře
• Cena (včetně GST): 2 $ 051.50

O praktickém DevSecOps

Praktický kurz DevSecOps je průkopnický kurz, který učí koncepty, nástroje a techniky DevSecOps od odborníků z oboru. Nabízí školení dovedností v reálném světě prostřednictvím nejmodernějších online laboratoří. Získáním certifikace DevSecOps můžete organizacím prokázat své odborné znalosti. Lumify Work je oficiálním školicím partnerem společnosti Practical DevSecOps.

Proč studovat tento kurz?

Toto pokročilé školení DevSecOps Expert je navrženo tak, aby pomohlo bezpečnostním profesionálům zvládnout zabezpečení ve velkém pomocí postupů DevSecOps. Kurz pokrývá základy DevOps a DevSecOps a také pokročilé koncepty, jako je modelování hrozeb jako kód, RASP/IAST, zabezpečení kontejnerů, správa tajemství a další.

Tento kurz s vlastním tempem nabízí následující:

• Doživotní přístup k příručce kurzu
• Videa kurzů a kontrolní seznamy
• 30minutové setkání s instruktory
• Přístup k vyhrazenému kanálu Slack
• 30+ řízených cvičení
• Laboratoř a zkouška: 60 dní laboratorního přístupu založeného na prohlížeči
• Jeden pokus o zkoušku pro certifikaci Certified DevSecOps Expert (CDE).

Co se naučíte

• Vytvořte kulturu sdílení a spolupráce mezi zúčastněnými stranami
• Rozšiřte úsilí bezpečnostního týmu o snížení plochy útoku
• Zabudujte zabezpečení jako součást DevOps a CI/CD
• Spusťte nebo zdokonalte svůj program zabezpečení aplikací pomocí moderních postupů Secure SDLC
• Upevněte infrastrukturu pomocí Infrastructure as Code a udržujte soulad s dodržováním předpisů pomocí nástrojů a technik Compliance jako Code
• Konsolidujte a spojte zranitelnosti za účelem škálování falešně pozitivních analýz pomocí automatizovaných nástrojů

Návod k použití produktu

Chcete-li co nejlépe využít kurz Practical DevSecOps Expert Self-temped, postupujte podle těchto pokynů:

Krok 1: Přístup k materiálům kurzu

1. Ujistěte se, že máte stabilní připojení k internetu.
2. Navštivte kurz webmísto na https://www.lumifywork.com/en-au/courses/practical-devsecops-expert/.
3. Přihlaste se ke svému účtu pomocí poskytnutých přihlašovacích údajů.
4. Získejte přístup k příručce kurzu, videím a kontrolním seznamům na celý život

Krok 2: Interakce s instruktory

V rámci kurzu máte možnost naplánovat si 30minutové sezení s lektory. Postupujte takto:

1. Připojte se k vyhrazenému kanálu Slack, který je k dispozici.
2. Domluvte se s instruktory a naplánujte si relaci.
3. Během sezení klást otázky, hledat vysvětlení a

Krok 3: Dokončení řízených cvičení

Kurz obsahuje více než 30 řízených cvičení, která posílí vaše učení. Postupujte takto:

1. Pomocí poskytnutých přihlašovacích údajů přejděte do prostředí laboratoře založeného na prohlížeči.
2. Postupujte podle pokynů uvedených u každého cvičení.
3. Procvičte si koncepty, nástroje a techniky v reálném simulovaném prostředí.

Krok 4: Složení zkoušky

Po dokončení řízených cvičení a pocitu jistoty ve svých znalostech se můžete pokusit o certifikační zkoušku Certified DevSecOps Expert (CDE). Zde je to, co potřebujete vědět:

1. Zkouška probíhá online.
2. K přípravě na zkoušku máte 60 dní přístupu do laboratoře.
3. Přihlaste se na zkušební portál pomocí poskytnutých přihlašovacích údajů.
4. Postupujte podle pokynů a dokončete zkoušku ve stanoveném čase.
5. Po složení zkoušky vám bude udělena certifikace Certified DevSecOps Expert (CDE).

PRAKTICKÝ VÝVOJ U LUMIFY WORK

Praktické DevSecOps jsou průkopníky DevSecOps. Naučte se koncepty, nástroje a techniky DevSecOps od odborníků z oboru a osvojte si skutečné dovednosti v nejmodernějších online laboratořích. Prokažte své odborné znalosti organizacím získáním certifikace DevSecOps, se znalostmi založenými na úkolech, nikoli s teorií. Lumify Work je oficiálním školicím partnerem společnosti Practical DevSecOps.

PROČ STUDOVAT TENTO KURZ

Všichni jsme slyšeli o DevSecOps, Shifting Left a Rugged DevOps, ale neexistují žádné jasné exampsoubory nebo rámce dostupné pro bezpečnostní profesionály k implementaci ve své organizaci.
Jeho praktický kurz vás přesně to naučí – nástroje a techniky pro začlenění zabezpečení jako součást potrubí DevOps. Dozvíme se, jak jednorožci jako Google, Facebook, Amazon a Etsy zvládají zabezpečení ve velkém a co se od nich můžeme naučit, abychom zdokonalili naše bezpečnostní programy. V našem pokročilém školení DevSecOps Expert se naučíte, jak zacházet se zabezpečením ve velkém pomocí postupů DevSecOps. Začneme základy DevOps a DevSecOps, poté přejdeme k pokročilým konceptům, jako je modelování hrozeb jako kód, RASP/IAST, zabezpečení kontejnerů, správa tajemství a další. Tento kurz s vlastním tempem vám poskytne:

Doživotní přístup

• Manuál kurzu
• Kurzová videa a kontrolní seznamy
• 30minutové sezení s instruktory h
• Přístup k vyhrazenému kanálu Slack
• 30+ řízených cvičení

Laboratoř a zkouška:

• 60 dní přístupu do laboratoře přes prohlížeč
• Jeden pokus o zkoušku pro certifikaci Certified DevSecOps Expert (CDE).

CO SE NAUČÍTE

• Vytvořte kulturu sdílení a spolupráce mezi zúčastněnými stranami
• Rozšiřte úsilí bezpečnostního týmu o snížení plochy útoku
• Zabudujte zabezpečení jako součást DevOps a CI/CD
• Spusťte nebo zdokonalte svůj program zabezpečení aplikací pomocí moderních postupů Secure SDLC
• Upevněte infrastrukturu pomocí Infrastructure as Code a udržujte soulad s dodržováním předpisů pomocí nástrojů a technik Compliance jako Code
• Konsolidujte a spojte zranitelnosti za účelem škálování falešně pozitivních analýz pomocí automatizovaných nástrojů

Můj instruktor byl skvělý, když dokázal zasadit scénáře do skutečných případů, které se týkaly mé konkrétní situace. Od chvíle, kdy jsem dorazil, jsem se cítil vítán a schopnost sedět jako skupina mimo třídu a diskutovat o našich situacích a našich cílech byla nesmírně cenná. Naučil jsem se hodně a cítil jsem, že je důležité, aby mé cíle, které jsem se zúčastnil tohoto kurzu, byly splněny. Skvělá práce týmu Lumify Work.

AMANDA NICOL

MANAŽER SLUŽEB IT SUPPORT – HEALT H WORLD LIMITED

PŘEDMĚTY KURZU

Nadview DevSecOps

• Stavební bloky DevOps – lidé, proces a technologie
• Principy DevOps – kultura, automatizace, měření a sdílení (CAMS)
• Výhody DevOps – rychlost, spolehlivost, dostupnost, škálovatelnost, automatizace, náklady a viditelnost
• Nadview kritického toolchainu DevSecOps
• Nástroje pro správu úložiště
• Nástroje průběžné integrace a průběžného zavádění
• Nástroje Infrastructure as Code (IaC).
• Nástroje pro komunikaci a sdílení
• Nástroje zabezpečení jako kód (SaC).
• Nadview zabezpečené SDLC a CI/CD
• Review bezpečnostních aktivit v zabezpečené SDLC
• Průběžná integrace a průběžné nasazování
• Jak přejít z modelu vyspělosti DevSecOps (DSOMM) úrovně 2 na úroveň 4
• Osvědčené postupy a úvahy pro úroveň zralosti 3
• Osvědčené postupy a úvahy pro úroveň zralosti 4
• Bezpečnostní automatizace a její limity
• Výzvy a řešení DSOMM úrovně 3 a 4

Lumify Work

Školení na míru Můžeme také dodat a upravit tento školicí kurz pro větší skupiny, což vaší organizaci ušetří čas, peníze a zdroje. Pro více informací nás prosím kontaktujte na čísle 1 800 853 276.

Bezpečnostní požadavky a modelování hrozeb (TM)

• Co je modelování hrozeb?
• ST RIDE vs DREAD se blíží
• Modelování hrozeb a jeho výzvy
• Klasické nástroje pro modelování hrozeb a jak zapadají do potrubí CI/CD
• Hands-on Lab: Automatizujte bezpečnostní požadavky jako kód
• Praktická laboratoř: použití ThreatSpec k modelování hrozeb jako kódu
• Hands-on Lab: použití zabezpečení BDD ke kodifikaci hrozeb

Advanced St at ic Analysis (SAST) v CI/CD potrubí

• Proč se háčky před potvrzením nehodí do DevSecOps
• Psaní vlastních pravidel pro odstranění falešných poplachů a zlepšení kvality výsledků
• Různé přístupy k psaní vlastních pravidel v bezplatných a placených nástrojích
• Regulární výrazy
• Abstraktní stromy syntaxe
• Grafy (analýza toku dat a kontroly)
• Praktická laboratoř: Psaní vlastních šeků v banditovi pro vaše podnikové aplikace

Pokročilá dynamická analýza (DAST) v CI/CD potrubí

• Vkládání nástrojů DAST do potrubí
• Využití automatizace QA/Performance k řízení DAST skenů
• Použití Swagger (OpenAPI) a ZAP k opakovanému skenování API. Způsoby, jak zpracovat vlastní ověřování pro ZAP Scanner
• Použití jazyka Zest k zajištění lepšího pokrytí pro skenování DAST
• Praktická laboratoř: pomocí ZAP, Selenium a Zest nakonfigurujte hloubkové skenování
• Praktická laboratoř: pomocí Burp Suite Pro konfigurujte prověřování podle odevzdání/týdenního/měsíčního skenování

Poznámka: K použití v CI/CD si studenti musí přinést licenci Burp Suite Pro

Analýza běhu (RASP/IAST) v CI/CD potrubí

• Co je testování zabezpečení aplikací analýzy běhu?
• Rozdíly mezi RASP a IAST
• Analýza běhu a výzvy
• RASP/IAST a jeho vhodnost v CI/CD potrubí
• Hands-on Lab: Komerční implementace nástroje IAST

Infrastruktura jako kód (IaC) a její bezpečnost

• Správa konfigurace (Ansible) zabezpečení
• Uživatelé/Privilegia/Klíče – Ansible Vault vs Tower
• Výzvy s Ansible Vault v potrubí CI/CD
• Úvod do Packeru
• Výhody Packer
• Šablony, stavitelé, provizorní programy a postprocesory
• Packer pro nepřetržité zabezpečení v DevOps Pipelines
• Nástroje a služby pro procvičování IaaC (Packer, Ansible a Docker)
• Hands-on Lab: Použití Ansible k posílení on-prem/cloud strojů pro PCI DSS
• Hands-on Lab: Vytvářejte tvrzené zlaté obrázky pomocí Packer a Ansible

Zabezpečení kontejneru (Docker).

• Co je to Docker?
• Docker vs Vagrant
• Základy Dockeru a jeho výzev
• Chyby zabezpečení v obrázcích (veřejné a soukromé)
• Útoky odepření služby
• Metody eskalace oprávnění v Dockeru
• Chybná konfigurace zabezpečení
• Zabezpečení kontejnerů
• Kontroly důvěryhodnosti a integrity obsahu
• Možnosti a jmenné prostory v Dockeru
• Segregační sítě
• Kernel Hardening pomocí SecComp a AppArmor
• Statická analýza obrázků kontejnerů (Docker).
• Dynamická analýza hostitelů kontejnerů a démonů
• Hands-on Lab: Skenování obrázků dockeru pomocí Clair a jeho API
• Hands-on Lab: Auditování démona Docker a hostitele z hlediska bezpečnostních problémů

Správa tajemství na proměnlivé a neměnné infrastruktuře

• Správa tajemství v tradiční infrastruktuře
• Správa tajemství v kontejnerech ve Scale
• Tajná správa v cloudu
• Systémy kontroly verzí a tajemství
• Proměnné prostředí a konfigurace files
• Docker, Immutable systems a jeho bezpečnostní výzvy
• Správa tajemství s Hashicorp Vault a Consul
• Praktická laboratoř: Bezpečně ukládejte šifrovací klíče a další tajemství pomocí Vault/Consul

Pokročilá správa zranitelnosti

• Přístupy ke správě zranitelných míst v organizaci
• Falešně pozitivní a
• Falešné negativy
• Řízení kultury a zranitelnosti
• Vytváření různých metrik pro CXO, vývojáře a bezpečnostní týmy Hands-on Lab: Použití Defect Dojo pro správu zranitelnosti

PRO KOHO JE KURZ URČEN?
Tento kurz je zaměřen na každého, kdo chce začlenit zabezpečení jako součást agilních/cloudových/DevOps prostředí, jako jsou bezpečnostní profesionálové, penetrační testeři, IT manažeři, vývojáři a technici DevOps.

Předpoklady

Účastníci kurzu musí mít certifikaci Certified DevSecOps Professional (CDP). Měli by také rozumět základním postupům zabezpečení aplikací, jako je SAST, DAST atd.

Dodávka tohoto kurzu ze strany Lumify Work se řídí rezervačními podmínkami. Před přihlášením do tohoto kurzu si prosím pozorně přečtěte podmínky, protože přihlášení do kurzů je podmíněno přijetím těchto podmínek.

https://www.lumifywork.com/en-au/courses/practical-devsecops-expert/

• training@lumifywork.com
• lumifywork.com
• facebook.com/LumifyWorkAU
• linkedin.com/company/lumify-work
• twitter.com/LumifyWorkAU
• youtube.com/@lumifywork

Dokumenty / zdroje

LUMIFY WORK Praktický odborník na DevSecOps s vlastním tempem [pdfUživatelská příručka Praktický odborník na DevSecOps s vlastním tempem, Praktický odborník na DevSecOps v tempu, Praktický odborník na DevSecOps, Expert na DevSecOps, Expert

Reference

• Uživatelská příručka