Certified DevSecOps Expert – CDSE

Die umfassendste DevSecOps-Zertifizierung bei uns: Werden Sie zertifizierter DevSecOps-Experte, indem Sie lernen, benutzerdefinierte Rollen für OS-Hardening, Infrastructure as Code, Compliance as Code zu schreiben und Schwachstellenmanagement in großem Umfang durchzuführen.

Erwerben Sie die Zertifizierung durch Bestehen der 24-stündigen praktischen Prüfung.
Die Zertifizierung beweist Arbeitgebern und anderen das praktische Verständnis der fortgeschrittenen Konzepte, wie z. B. benutzerdefinierte Regelsätze.
Unser LAB enthält alle wichtigen Komponenten der DevOps-Pipeline.
Ein CDSE ist in der Lage, benutzerdefinierte Regelsätze zu erstellen und false-positive Meldungen durch Automatisierung zu reduzieren.

Voraussetzungen

  • Die Kursteilnehmer müssen das Zertifikat Certified DevSecOps Professional (CDSP) besitzen.
  • Die Kursteilnehmer sollten ein grundlegendes Verständnis von Anwendungssicherheitspraktiken wie SAST, DAST, etc. haben.

Teil1 – Übersicht DevSecOps

  1. DevOps-Bausteine – Menschen, Prozesse und Technologie.
  2. DevOps-Prinzipien – Culture, Automation, Mesaurement and Sharing (CAMS)
  3. Vorteile von DevOps – Geschwindigkeit, Zuverlässigkeit, Verfügbarkeit, Skalierbarkeit, Automatisierung, Kosten und Sichtbarkeit.
  4. Überblick über die kritische DevSecOps-Toolchain.
    1. Werkzeuge für die Repository-Verwaltung.
    2. Werkzeuge für CI/CD.
    3. Werkzeuge für Infrastructure as Code (IaC).
    4. Werkzeuge für Kommunikation und gemeinsame Nutzung.
    5. Werkzeuge für Security as Code (SaC).
  5. SDLC
    1. Überblick über einen sicheren SDLC und CI/CD.
    2. Überprüfung der Sicherheitsaktivitäten im sicheren SDLC.
    3. Continuous Integration und Continuous Deployment.
    4. DevSecOps Maturity Model (DSOMM)

Teil 2 – Sicherheitsanforderungen und Threat Modelling (TM)

  1. Was is Threat Modelling?
  2. STRIDE vs. DREAD-Ansätze
  3. Threat modeling und ihre Herausforderungen
  4. Klassische Tools zur Bedrohungsmodellierung und wie sie in die CI/CD-Pipeline passen
  5. Praktische Übungen:
    1. Automatisieren Sie Sicherheitsanforderungen als Code.
    2. Verwendung von ThreatSpec für die Modellierung von Bedrohungen als Code
    3. Verwendung von BDD-Security zur Kodifizierung von Bedrohungen

Teil3 – Erweiterte Static Analysis(SAST) in CI/CD Pipeline

  1. Warum Pre-Commit-Hooks für DevSecOps nicht geeignet sind
  2. Das Schreiben von benutzerdefinierten Regeln, um False Positives auszusortieren und die Qualität der Ergebnisse zu verbessern.
  3. Verschiedene Ansätze zum Schreiben von benutzerdefinierten Regeln in kostenlosen und kostenpflichtigen Tools.
    1. Regular expressions
    2. Abstract Syntax Trees
    3. Graphen ( Data and Control Flow analysis)
  4. Praktische Übungen:
    1. Schreiben von benutzerdefinierten Checks im Bandit für Ihre Unternehmensanwendungen.

Teil 4 – Erweiterte Dynamic Analysis(DAST) in CI/CD Pipeline

  1. Einbettung von DAST-Tools in die Pipeline.
  2. Nutzung der QA/Performance Automation zur Durchführung von DAST-Scans.
  3. Verwendung von Swagger (OpenAPI) und ZAP zum iterativen Scannen von APIs
  4. Möglichkeiten zur Handhabung benutzerdefinierter Authentifizierungen für ZAP Scanner.
  5. Verwendung der Zest-Sprache für eine bessere Abdeckung bei DAST-Scans.
  6. Praktische Übungen: Verwendung von ZAP + Selenium + Zest zur Konfiguration eingehender Scans
  7. Praktische Übungen: Verwendung von Burp Suite Pro zur Konfiguration von Überprüfungen pro Commit/wöchentlich/monatlich.

Anmerkung

Die Teilnehmer müssen ihre Burp Suite Pro-Lizenz zur Verwendung mitbringen.

Teil 5 – Laufzeitanalyse (RASP/IAST) in der CI/CD-Pipeline

  1. Was ist eine Laufzeitanalyse zur Prüfung der Anwendungssicherheit?
  2. Unterschiede zwischen RASP und IAST.
  3. Laufzeitanalyse und Herausforderungen.
  4. RASP/IAST und seine Eignung in der CI/CD-Pipeline.
  5. Schreiben von benutzerdefinierten Checks, um Secrets in einer Organisation aufzuspüren.
  6. Praktische Übungen:
    1. Eine kommerzielle Umsetzung des IAST-Tools.

Teil 6 – Infrastruktur als Code (IaC) und Sicherheit

  1. Sicherheit im Konfigurationsmanagement (Ansible).
    1. Benutzer/Privilegien/Schlüssel – Ansible Vault vs. Tower.
    2. Herausforderungen mit Ansible Vault in der CI/CD-Pipeline.
  2. Einführung in Packer
    1. Vorteile von Packer.
    2. Templates, Builder, Provisioner und Postprozessoren.
    3. Packer für continuous security in DevOps-Pipelines.
  3. Tools und Dienste für die Praxis von IaaC ( Packer + Ansible + Docker )
  4. Praktische Übungen: Verwendung von Ansible zum Härten von On-Prem-/Cloud-Rechnern für PCI-DSS
  5. Praktische Übungen: Erstellen gehärteter Golden-Images mit Packer + Ansible

Teil 7 – Container (Docker) Security

  1. Was ist Docker
  2. Docker vs Vagrant
  3. Docker Basics und Herausforderungen
    1. Schwachstellen in Bildern (öffentlich und privat)
    2. Denial-of-Service-Angriffe
    3. Methoden der Privilege escalation in Docker.
    4. Sicherheitsfehlkonfigurationen.
  4. Container Security.
    1. Content Trust und Integrity checks.
    2. Capabilities und Namespaces in Docker.
    3. Netzwerk Segregation
    4. Kernel-Härtung mit SecComp und AppArmor.
  5. Statische Analyse von Container (Docker) Images.Tools und Dienste, die helfen, IaaC zu erreichen
  6. Dynamische Analyse von Container-Hosts und Daemons.
  7. Praktische Übungen:
    1. Scannen von Docker-Images mit Trivy und seinen APIs.
    2. Überprüfen von Docker-Daemon und Host auf Sicherheitsprobleme.

Teil 8 – Secrets management auf mutable und immutable infra

  1. Verwaltung von Secrets in traditionellen Infrastrukturen.
  2. Verwaltung von Secrets in Containern on scale.
  3. Secret Management in der Cloud
    1. Versionskontrollsysteme und Secrets.
    2. Umgebungsvariablen und Konfigurationsdateien.
    3. Docker, immutable Systeme und ihre Sicherheitsherausforderungen.
    4. Verwaltung von Secrets mit Hashicorp Vault und consul.
  4. Praktische Übungen: Sichere Speicherung von Encryption keys und anderen Secrest mit Vault/Consul.

Teil 9 – Advanced vulnerability management

  1. Ansätze zur Verwaltung der Schwachstellen in der Organisation.
  2. False-Positives und False-Negatives.
  3. Kultur und Schwachstellenmanagement.
  4. Erstellung verschiedener Metriken für CXOs, Entwickler und Sicherheitsteams.
  5. Praktische Übungen: Verwendung von Defect Dojo für das Schwachstellenmanagement.

DevSecOps Zertifizierungs Prozess

  1. Nach Abschluss des Kurses planen Sie die Prüfung zu Ihrem Wunschtermin.
  2. Bestehen Sie die Prüfung, um die Zertifizierung zum Certified DevSecOps Expert zu erhalten.
  3. Das Verfahren zur Erlangung praktischer DevSecOps-Kurszertifizierungen finden Sie hier.

Preise und Buchung

Dauer: 5 Tage
Preis p. Teilnehmer: 2.950€ + 19% Mwst.

Bitte registrieren Sie sich für diesen Kurs (unverbindlich). Wir setzen uns umgehend mit Ihnen in Verbindung, um alles weitere zu klären.