Plan du cours
1. Fondamentaux du DevSecOps : sécurité dès la conception
🔍 Apprentissage : Principes fondamentaux du DevSecOps et SDLC sécurisé
🛠️ Démonstration : Comparaison côte à côte des pipelines sécurisés hérités et modernes
🔧 Atelier pratique : Créez votre premier modèle de pipeline activé DevSecOps
2. Camp de boot de tests de sécurité OWASP ZAP
💣 Simulation de contamination :
- Déployez une application vulnérable avec des injections SQL (SQLi) et des balisages croisés (XSS)
- Utilisez OWASP ZAP pour détiguer et atténuer les menaces
⚙️ Tactiques de défense :
- Scanning automatisé avec ZAP
- Intégration CI/CD via l'API ZAP
🧪 Atelier pratique : Personnalisez les analyses de base ZAP + règles d'attaque
🎯 Défi : « Trouvez le panneau d'administration caché en 10 minutes »
3. L'enfer des dépendances : défense de la chaîne d'approvisionnement
💣 Simulation de contamination :
- Injectez un package npm malveillant contenant des CVE
🛡️ Tactiques de défense :
- Surveillez les vulnérabilités avec OWASP Dependency-Track
- Appliquez des portes de politique qui échouent les compilations sur les CVE critiques
🧪 Atelier pratique : Créez des politiques de vulnérabilité et des workflows d'alerte
⚠️ Démonstration choquante : « Comment une seule mauvaise dépendance peut prendre le contrôle de votre infrastructure »
4. Salle de guerre de la gestion des vulnérabilités
💣 Simulation de contamination :
- Exploitez les vulnérabilités non corrigées dans les conteneurs
🛡️ Tactiques de défense :
- Centralisez la signalisation avec OWASP DefectDojo
- Scannez les conteneurs avec Trivy
🧪 Atelier pratique : Construisez de vrais tableaux de bord pour la signalisation aux CIO/exécutifs
🏁 Compétition : « Classez 50 résultats plus rapidement que vos rivaux »
5. Exercice d'incendie des secrets et de la configuration
💣 Simulation de contamination :
- Extrayez des secrets de l'historique Git en utilisant truffleHog
🛡️ Tactiques de défense :
- Utilisez des crochet pre-commit pour bloquer les motifs comme
password=.* - Utilisez l'araignée de configuration de ZAP pour mettre en lumière les paramètres dangereux
🧪 Atelier pratique : Mettez en œuvre le scan des secrets GitHub Actions
🚨 VÉRITÉ BRUTALE : « Votre mot de passe de base de données se trouve dans Slack en ce moment même »
6. Conclusion : plan de bataille DevSecOps
🧭 Feuille de route d'intégration OWASP :
- Planifiez l'adoption de DefectDojo, Dependency-Track et ZAP
📋 Plan d'action personnel :
- Rédigez votre liste de vérification de sécurité de 30 jours
- Définissez vos indicateurs clés de performance (KPI) DevSecOps et vos tableaux de bord de signalisation
Pré requis
Expérience fondamentale en logiciel et en cycle de vie du développement logiciel (SDLC)
Public cible
Ingénieurs DevOps, sécurité et cloud qui détestent les discours théoriques sur la sécurité
Nos clients témoignent (2)
Craig était très impliqué dans la formation, toujours en s'assurant que nous prêtions attention, en adaptant les exemples à nos activités quotidiennes et en fournissant une réponse chaque fois qu'on lui posait une question, même si l'information n'était pas incluse dans la présentation.
Ecaterina Ioana Nicoale - BOOKING HOLDINGS ROMANIA SRL
Formation - DevOps Foundation®
Traduction automatique
Niveau élevé d’engagement et de connaissances du formateur
Jacek - Softsystem
Formation - DevOps Engineering Foundation (DOEF)®
Traduction automatique
