Certified DevSecOps Professional – CDSP

Dieser Kurs bereitet auf die Zertifizierung zum Certified DevSecOps Expert (CDE) vor. Sie lernen alle notwendigen Prozesse, Methodologien, Tools und Technologien kennen, die Sie in die Lage versetzen bei Kunden und Arbeitgebern eine 360 Grad Security im Cluster Umfeld einzuführen und zu betreiben. DevSecOps ist aktuell einer der meist gefragtesten Skill Sets am Markt.

Voraussetzungen

  • Die Kursteilnehmer sollten über Kenntnisse in der Ausführung grundlegender Linux-Befehle wie ls, cd, mkdir usw. verfügen,
  • Die Kursteilnehmer sollten grundlegende Kenntnisse über Anwendungssicherheitsprakticken wie OWASP Top 10 haben.
  • Sie benötigen keine Erfahrung mit DevOps-Tools.

Teil1 – Einführung in Basics

  1. Was ist DevOps?
  2. DevOps-Bausteine – Menschen, Prozesse und Technologie.
  3. DevOps-Prinzipien – Kultur, Automatisierung, Messung und gemeinsame Nutzung (CAMS)
  4. Vorteile von DevOps – Geschwindigkeit, Zuverlässigkeit, Verfügbarkeit, Skalierbarkeit, Automatisierung, Kosten und Sichtbarkeit.
  5. Was ist Continuous Integration und Continuous Deployment?
    1. Continuous Integration, Continuous Deployment und Continuous Delivery.
    2. Continuous Delivery vs. Continuous Deployment.
    3. Allgemeiner Workflow der CI/CD-Pipeline.
    4. Blue/Green Deployment-Strategie
    5. Vollständige Automatisierung.
    6. Entwerfen einer CI/CD-Pipeline für Webanwendungen.
  6. Allgemeine Herausforderungen bei der Anwendung des DevOps-Prinzips.
  7. Fallstudien zu DevOps bei großen Tech Konzernen
  8. Demo: Eine vollständige DevSecOps-Pipeline im Enterprise Umfeld.

Teil 2 – Einführung in das Handwerkszeug

  1. Gitlab/BitBucket/Github
  2. Docker
  3. Gitlab CI/Bitbucket/Jenkins/Travis
  4. OWASP ZAP
  5. Ansible
  6. Inspec
  7. Praktische Anwendung: Eine CI/CD Pipeline aufbauen mit  Gitlab CI/Jenkins/Travis und Gitlab/Github/bitbucket.
  8. Praktische Anwendung: Die oben genannten Tools nutzen, um eine komplette CI/CD zu bauen

Anmerkung

Sobald Sie die oben genannten Tools erlernt haben, werden Sie in der Lage sein, DevSecOps-Pipelines bei Cloud-Anbietern wie AWS zu erstellen.

Teil3 – Sichere SDLC und CI/CD Pipeline

  1. Was ist eine sicherer SDLC?
  2. Sichere SDLC-Aktivitäten und Security Gates
    1. Sicherheitsanforderungen
    2. Modellierung von Bedrohungen (Design)
    3. Statische Analyse und standardmäßige Sicherheit (Implementierung)
    4. Dynamische Analyse (Testen)
    5. OS Hardening, Web/Application Hardening (Deployment)
    6. Sicherheitsüberwachung/Compliance (Maintainance)
  3. DevSecOps-Maturity Model (DSOMM)
    1. Reifegradstufen und Aufgaben
    2. 4 Achsen im DSOMM
    3. Wie man von Reifegrad 1 zu Reifegrad 4 kommt
    4. Bewährte Verfahren für Reifegrad 1
    5. Überlegungen für Reifegrad 2
    6. Herausforderungen der Reifegradstufe 3
  4. Einsatz von Tools zur Durchführung der oben genannten Aktivitäten in CI/CD
  5. Einbettung von Security als Teil der CI/CD-Pipeline
  6. DevSecOps und Herausforderungen mit Pentesting und Vulnerability Assessment.
  7. Praktische Anwendung: Erstellen einer CI/CD-Pipeline, die für moderne Anwendungen geeignet ist.
  8. Praktische Anwendung: Verwenden der Ergebnisse in einer vollständig automatisierten Pipeline.

Teil 4 – Software Component Analysis (SCA) in CI/CD Pipelines

  1. Was ist Software-Component-Analysis.
  2. SCA und ihre Herausforderungen.
  3. Worauf man bei einer SCA-Lösung achten sollte (kostenlos oder kommerziell).
  4. Einbindung von SCA-Tools wie OWASP Dependency Checker, Safety, RetireJs und NPM Audit, Snyk in die Pipeline.
  5. Demo: Verwendung von OWASP Dependency Checker zum Scannen von Schwachstellen in Java-Code von Drittanbieter Komponenten.
  6. Praktische Übungen: Verwendung von RetireJS und NPM zum Scannen von Schwachstellen von Drittanbieter Komponenten in der Javascript-Codebasis.
  7. Praktische Übungen: Verwendung von Safety/pip zum Scannen von Schwachstellen von Drittanbieter Komponenten in der Python-Codebasis.

Teil 5 – SAST (Static Analysis) in der CI/CD Pipeline

  1. Was ist Static Application Security Testing.
  2. Static Analysis und ihre Herausforderungen.
  3. Die Einbindung von SAST-Tools wie Find Bugs in die Pipeline.
  4. Secret Scanning, um die Leaks im Code zu verhindern.
  5. Schreiben von benutzerdefinierten Checks, um Secrets in einer Organisation aufzuspüren.
  6. Praktische Übungen:
    1. Verwendung von SpotBugs zum Scannen von Java-Code.
    2. Verwendung von trufflehog/gitrob zum Scannen nach Secrets in der CI/CD-Pipeline.
    3. Verwendung von brakeman/bandit zum Scannen von Ruby on Rails und Python Code.

Teil 6 – DAST (Dynamic Analysis) in der CI/CD Pipeline

  1. Was ist eine dynamische Prüfung der Anwendungssicherheit.
  2. Dynamische Analyse und ihre Herausforderungen (Session Management, AJAX Crawling)
  3. Einbindung von DAST-Tools wie ZAP und Burp Suite in die Pipeline.
  4. Testen von SSL-Fehlkonfigurationen
  5. Testen von Server-Fehlkonfigurationen, wie geheime Ordner und Dateien.
  6. Erstellen von Baseline-Scans für DAST.
  7. Praktische Übungen: Verwendung von ZAP zur Konfiguration von Scans pro Commit/wöchentlich/monatlich.

Teil 7 – Infrastructure as Code und Security

  1. Was ist Infrastructure as Code und welche Vorteile bietet es?
  2. Plattform + Infrastrukturdefinition + Konfigurationsmanagement.
  3. Einführung in Ansible.
  4. Vorteile von Ansible.
  5. Push- und Pull-basierte Konfigurationsmanagementsysteme
  6. Module, Aufgaben, Rollen und Playbooks
  7. Tools und Dienste, die helfen, IaaC zu erreichen
  8. Praktische Übungen: Docker und Ansible
  9. Praktische Übungen: Verwendung von Ansible zur Erstellung von Golden Images und zur Absicherung der Infrastruktur.

Teil 8 – Compliance as Code

  1. Unterschiedliche Ansätze zur Erfüllung von Compliance-Anforderungen im DevOps-Umfeld
  2. Verwendung von Konfigurationsmanagement zur Erreichung von Compliance.
  3. Verwaltung der Compliance mit Inspec/OpenScap
  4. Praktische Übungen: Erstellen eines Inspec-Profils zur Erstellung von Compliance-Prüfungen für Ihr Unternehmen
  5. Praktische Übungen: Inspec-Profil zur Skalierung der Compliance verwenden.

Teil 9 – Schwachstellenmanagement mit benutzerdefinierten Tools

  1. Ansätze zur Verwaltung der Schwachstellen im Unternehmen.
  2. Praktische Übungen: Verwendung von Defect Dojo für das Schwachstellenmanagement.

DevSecOps Zertifizierungs Prozess

  1. Nach Abschluss des Kurses planen Sie die Prüfung zu Ihrem Wunschtermin.
  2. Bestehen Sie die Prüfung, um die Zertifizierung zum Certified DevSecOps Professional zu erhalten.
  3. Das Verfahren zur Erlangung praktischer DevSecOps-Kurszertifizierungen finden Sie hier.

Preise und Buchung

Dauer: 5 Tage
Preis p. Teilnehmer: 2.950€ + 19% Mwst.

Bitte registrieren Sie sich für diesen Kurs (unverbindlich). Wir setzen uns umgehend mit Ihnen in Verbindung, um alles weitere zu klären.