LUMIFY WORK 自定进度实用 DevSecOps 专业用户指南

IT 服务管理和 DEVOPS

内容隐藏

1 实用 DevSecOps 专业自定进度

实用 DevSecOps 专业自定进度

包含内容	长度	价格（含消费税）
考试券	60 天实验室访问权限	$1,430

Lumify 工作中的实用 DEVSECOPS
实用 DevSecOps 是 DevSecOps 的先驱。向行业专家学习 DevSecOps 概念、工具和技术，并在最先进的在线实验室中掌握实际技能。通过获得 DevSecOps 认证，利用基于任务的知识而不是理论，向组织展示您的专业知识。
Lumify Work 是 Practical DevSecOps 的官方培训合作伙伴。

为什么学习本课程

我们都听说过 DevSecOps、Shifting Left、Rugged DevOps，但没有明确的前例amp可供安全专业人员在其组织中实施的文件或框架。
本实践课程将教您将安全性嵌入到 DevOps 管道中的工具和技术。我们将了解谷歌、Facebook、亚马逊和 Etsy 等独角兽公司如何大规模处理安全问题，以及我们可以从他们身上学到什么来完善我们的安全计划。
在 DevSecOps 专业培训中，您将学习如何使用 DevSecOps 实践大规模处理安全性。我们将从 DevOps 和 DevSecOps 的基础知识开始，然后转向高级概念，例如安全性即代码、合规性即代码、配置管理、基础设施即代码等。

这个自定进度的课程将为您提供：
生命与时间访问：

课程手册

课程视频和清单
与讲师进行 30 分钟的课程

访问专用的 Slack 通道
30+ 指导练习

实验室和考试：

60 天基于浏览器的实验室访问权限

认证 DevSecOps 专业人员 (CDP) 认证的一次考试尝试

我的导师非常出色，能够将与我的具体情况相关的场景放入现实世界的实例中。
从我到达的那一刻起，我就受到了欢迎，能够在教室外以小组形式讨论我们的情况和我们的目标是非常有价值的。
我学到了很多东西，并认为通过参加这门课程来实现我的目标很重要。
Lumify 工作团队干得好。

阿曼达·尼科尔
IT 支持服务经理 – HEALT H WORLD LIMITED

你会学到什么

在利益相关者之间创建共享和协作的文化

扩大安全团队的努力以减少攻击面
将安全性嵌入到 DevOps 和 CI/CD 的一部分

使用现代安全 SDLC 实践启动或完善您的应用程序安全计划
使用基础设施即代码强化基础设施，并使用合规性即代码工具和技术保持合规性

使用自动化工具整合和关联漏洞以扩展误报分析

Lumify Work 定制培训
我们还可以为较大的团体提供和定制此培训课程，从而节省您的组织的时间、金钱和资源。
如需了解更多信息，请致电 1 800 853 276 联系我们。

课程科目

DevOps 和 DevSecOps 简介

什么是 DevOps？

DevOps 构建模块 – 人员、流程和技术
DevOps 原则 – 文化、自动化、测量和共享 (CAMS)

DevOps 的优势 – 速度、可靠性、可用性、可扩展性、自动化、成本和可见性
什么是持续集成和持续部署？

持续集成到持续部署到持续交付
持续交付与持续部署

CI/CD 管道的一般工作流程
蓝/绿部署策略

实现全自动化
为以下项目设计 CI/CD 管道 web 应用
使用 DevOps 原则时面临的常见挑战
Facebook、亚马逊和谷歌尖端技术 DevOps 案例研究
演示：完整的企业级 DevSecOps 管道

行业工具简介

Github/Gitlab/Bitbucket
Docker
Docker 注册表
Ansible
詹金斯/特拉维斯/Gitlab CI/Bitbucket
冈特特
检测
强盗/retireJS/Nmap
动手实验室：使用 Vagrant 实践基础设施即代码
动手实验室：使用 Jenkins/Travis 和 GitHub/Bitbucket 构建 CI 管道
动手实验室：使用上述工具创建完整的 CI/CD 管道

安全 SDLC 和 CI/CD 管道

什么是安全 SDLC？
保护 SDLC 活动和安全门

安全要求（要求）
威胁建模（设计）
静态分析和默认安全（实现）

动态分析（测试）
操作系统强化， Web/应用程序强化（部署）
安全监控/合规性（维护）

DevSecOps 成熟度模型 (DSOMM)
成熟度级别和涉及的任务
DSOMM 中的 4 轴

如何从成熟度 1 级升级到成熟度 4 级
成熟度 1 级的最佳实践
成熟度级别 2 的注意事项

成熟度 3 级的挑战
梦想达到成熟度 2 级
使用行业工具在 CI/CD 中进行上述活动

将安全性嵌入作为 CI/CD 管道的一部分
DevSecOps 以及渗透测试和漏洞评估的挑战
动手实验室：创建适合现代应用程序的 CI/CD 管道

动手实验室：在完全自动化的管道中管理结果

CI/CD 管道中的软件组件分析 (SCA)

什么是软件组件分析？

软件组件分析及其挑战
在 SCA 解决方案（免费或商业）中寻找什么
将 OWASP Dependency Checker、Safety、RetireJs 和 NPM Audit、Snyk 等 SCA 工具嵌入到管道中

演示：使用 OWASP Dependency Checker 扫描 Java® 代码库中的第三方组件漏洞
动手实验：使用RetireJS和NPM扫描JavaScript代码库中的第三方组件漏洞
动手实验室：使用Safety/pip扫描Python代码库中的第三方组件漏洞

CI/CD 管道中的 SAST（静态分析）

什么是静态应用程序安全测试？
静态分析及其挑战

将 SAST 工具嵌入到管道中
秘密扫描，防止代码泄露
编写自定义检查以捕获组织中的秘密泄漏

动手实验室：使用 SpotBugs 扫描 Java 代码
动手实验室：使用 Trufflehog/Gitrob 扫描 CI/CD 管道中的秘密
动手实验室：使用brakeman/bandit扫描Ruby on Rails和Python代码库

CI/CD 管道中的 DAST（动态分析）

什么是动态应用程序安全测试？
动态分析及其挑战（会话管理、AJAX 爬行）

将 ZAP 和 Burp Suite 等 DAST 工具嵌入到管道中
SSL 错误配置测试
服务器配置错误测试，例如秘密文件夹和 files

Sqlmap测试SQL注入漏洞
动手实验室：使用 ZAP 配置每次提交/每周/每月扫描
演示：使用 Burp Suite 配置每次提交/每周/每月扫描

基础设施即代码及其安全性

什么是基础设施即代码及其好处？
平台+基础设施定义+配置管理

Ansible 简介
Ansible 的好处
基于推式和拉式的配置管理系统

模块、任务、角色和 Playbook
有助于实现 IaaC 的工具和服务
动手实验室：Vagrant、Docker 和 Ansible

动手实验室：使用 Ansible 创建黄金映像并强化基础设施

合规作为准则

在 DevOps 规模上处理合规性要求的不同方法

使用配置管理来实现合规性
使用 Inspec/OpenScap 大规模管理合规性
动手实验室：创建 Inspec profile 为您的组织创建合规性检查

动手实验室：使用 Inspec profile 扩大合规性

使用自定义工具进行漏洞管理

管理组织中的漏洞的方法

动手实验室：使用 Defect Dojo 进行漏洞管理

该课程适合谁？

本课程面向任何希望将安全性嵌入到敏捷/云/DevOps 环境中的人员，例如安全专业人员、渗透测试人员、IT 经理、开发人员和 DevOps 工程师。

必备条件

学习本课程没有任何先决条件，但是学生将受益于 Linux 命令（例如 ls、cd、mkdir 等）的基本知识以及应用程序安全实践（例如 OWASP Top 10）。

Lumify Work 提供的本课程受预订条款和条件的约束。请在注册本课程之前仔细阅读条款和条件，因为注册课程的条件是接受这些条款和条件。

https://www.lumifywork.com/en-au/courses/practical-devsecops-professional/立即致电 1800 853 276 与 Lumify 工作顾问交谈！
培训@lumifywork.com
lumifywork.com
facebook.com/LumifyWorkAU
linkedin.com/company/lumify-work
twitter.com/LumifyWorkAU
youtube.com/@lumifywork

文件/资源

LUMIFY WORK 自定进度实用 DevSecOps 专业版 [pdf] 用户指南
自定进度实用 DevSecOps 专业版、定步实用 DevSecOps 专业版、实用 DevSecOps 专业版、DevSecOps 专业版、专业版

参考

用户手册