Schulungsübersicht
1. Grundlagen des DevSecOps: Security by Design
🔍 Lernen: Kernprinzipien von DevSecOps & sichere SDLC
🛠️ Demo: Seitenvergleich zwischen altbewährten und modernen sicheren Pipelines
🔧 Labor: Erstellen Ihrer ersten auf DevSecOps ausgelegten Pipeline-Vorlage
2. OWASP ZAP Security Testing Bootcamp
💣 Durchbruchsimulation:
- Bereitstellung einer anfälligen Anwendung mit SQLi & XSS
- Einsatz von OWASP ZAP zur Erkennung und Minderung von Gefahren
⚙️ Verteidigungstaktiken:
- Automatisches Scannen mit ZAP
- CI/CD-Integration über die ZAP-API
🧪 Labor: Anpassen der Basis-Scans + Angriffregeln von ZAP
🎯 Herausforderung: „Finden Sie das versteckte Admin-Panel in 10 Minuten“
3. Abhängigkeits-Dschungel: Verteidigung der Lieferkette
💣 Durchbruchsimulation:
- Injizieren eines böswilligen npm-Pakets mit CVEs
🛡️ Verteidigungstaktiken:
- Überwachung von Schwachstellen mit OWASP Dependency-Track
- Durchsetzen von Policy-Gates, die Builds bei kritischen CVEs fehlschlagen lassen
🧪 Labor: Erstellen von Richtlinien zur Schwachstellenüberwachung & Alarmarbeit
⚠️ Schockierende Demo: „Wie eine einzige schlechte Abhängigkeit Ihre Infrastruktur übernehmen kann“
4. Krisenstab für Schwachstellenmanagement
💣 Durchbruchsimulation:
- Ausnutzen von ungepatchten Container-Schwachstellen
🛡️ Verteidigungstaktiken:
- Zentralisierte Berichterstellung mit OWASP DefectDojo
- Scannen von Containern mit Trivy
🧪 Labor: Aufbau echter Dashboards für die CISO-/Executive-Berichterstattung
🏁 Wettbewerb: „Priorisieren Sie 50 Erkenntnisse schneller als Ihre Rivalen“
5. Geheimnisse & Konfiguration Feuerprobe
💣 Durchbruchsimulation:
- Datenexfiltration von Git-Verlauf mit truffleHog
🛡️ Verteidigungstaktiken:
- Pre-commit-Hooks zum Blockieren von Mustern wie
password=.* - Einsatz des Konfigurations-Spiders von ZAP, um gefährliche Einstellungen aufzuspüren
🧪 Labor: Implementierung der secrets scanning-Funktion in GitHub Actions
🚨 Realitätsscheck: „Ihr Datenbankpasswort befindet sich gerade in Slack“
6. Abschluss: DevSecOps-Kriegsplan
🧭 OWASP-Integrations-Roadmap:
- Planen Sie die Einführung von DefectDojo, Dependency-Track und ZAP
📋 Persönlicher Aktionsplan:
- Erstellen Sie Ihre 30-Tage-Sicherheitscheckliste
- Definieren Sie Ihre DevSecOps-KPIs & Reporting-Dashboards
Voraussetzungen
Grundlagen der Softwareentwicklung und SDLC-Erfahrung
Zielgruppe
DevOps-, Sicherheits- und Cloud-Ingenieure, die theoretische Sicherheitsschulungen nicht mögen.
Erfahrungsberichte (2)
Craig war extrem engagiert im Training und hat stets darauf geachtet, dass wir aufmerksam sind. Er passte die Beispiele an unsere täglichen Aktivitäten an und gab immer eine Antwort, wenn danach gefragt wurde, auch wenn die Information nicht im Präsentationsmaterial enthalten war.
Ecaterina Ioana Nicoale - BOOKING HOLDINGS ROMANIA SRL
Kurs - DevOps Foundation®
Maschinelle Übersetzung
Hoher Einsatz und Fachwissen des Trainers
Jacek - Softsystem
Kurs - DevOps Engineering Foundation (DOEF)®
Maschinelle Übersetzung