Formation DevSecOps Foundation

En multipliant le développement d'applications, le taux de vulnérabilités de nos systèmes croît également. DevOps a montré une immense valeur pour l'entreprise et la sécurité en est un élément essentiel qui doit être intégré à la stratégie. A travers cette formation, les participants découvrent la manière dont DevSecOps fournit une valeur métier, facilite la transformation de l'entreprise et soutient une transformation organisationnelle permettant à l'entreprise d'augmenter la productivité de ses produits tout en réduisant les risques et en optimisant les coûts. Cette formation explique en quoi les pratiques de sécurité de DevOps diffèrent des autres approches en matière de sécurité et fournit les compétences nécessaires pour comprendre et appliquer les sciences de la sécurité et des données. Les participants apprennent les avantages, les concepts et le vocabulaire de DevSecOps, en particulier dans la manière dont les rôles de DevSecOps s'intègrent à la culture et à l'organisation de DevOps. À la fin de cette formation, les participants comprendront comment utiliser «la sécurité en tant que code» dans le but de rendre la sécurité et la conformité consommables en tant que service. La formation est conçue pour enseigner des étapes pratiques sur la manière d'intégrer les programmes de sécurité dans les pratiques de DevOps et souligne comment les professionnels peuvent utiliser les données et la "science" de la sécurité comme moyen principal de protection de l'entreprise et des clients. En utilisant des scénarios réels et des études de cas, les participants disposeront de solutions concrètes à utiliser une fois de retour au bureau. Cette formation prépare les participants à l'examen DevSecOps Foundation du DevOps Institute.

Introduction du cours

• Objectifs et déroulé du cours
• Exercice: schématiser votre pipeline CI / CD

Pourquoi DevSecOps?

• Termes et concepts clés
• Pourquoi DevSecOps est important
• 3 façons de penser à DevOps + Security
• Principes clés de DevSecOps

Culture et management

• Termes et concepts clés
• Modèle d'incitation
• La résilience
• La culture organisationnelle
• Générativité
• Erickson, Westrum et LaLoux
• Exercice : Influencer la culture

Considérations stratégiques

• Termes et concepts clés
• Quel volume de sécurité est considéré comme suffisant?
• Modélisation de la menace
• Le contexte est tout
• Gestion des risques dans un monde à grande vitesse
• Exercice: Mesurer le succès

Considérations générales sur la sécurité

• Eviter le piège de la case à cocher
• Hygiène de sécurité élémentaire
• Considérations architecturales
• Identité fédérée
• Gestion des journaux

IAM : Gestion des identités et des accès

• Termes et concepts clés
• Concepts de base d'IAM
• Directives de mise en œuvre
• Opportunités d'automatisation
• Comment se faire mal avec IAM
• Exercice: surmonter les défis de l'IAM

Sécurité des applications

• Tests de sécurité des applications (AST)
• Techniques d'essai
• Prioriser les techniques de test
• Intégration de la gestion des problèmes
• Modélisation de la menace
• Automatiser

Sécurité opérationnelle

• Termes et concepts clés
• Pratiques d'hygiène de sécurité de base
• Rôle de la gestion des opérations
• L'environnement des opérations
• Exercice: Ajout de sécurité à votre pipeline CI / CD

Gouvernance, Risques, Conformité (GRC) et Audit

• Termes et concepts clés
• Qu'est-ce que la GRC?
• Pourquoi se soucier de la GRC?
• Repenser les politiques
• Politique en tant que code
• Déplacement de la vérification à gauche
• 3 mythes sur la séparation des tâches et les devOps
• Exercice: Mise en œuvre de stratégies, d'audit et de conformité avec DevOps

Journalisation, surveillance et réponse

• Termes et concepts clés
• Configuration de la gestion des journaux
• Réponse aux incidents et expertise judiciaire
• Intelligence de la menace et partage de l'information

Préparation à l'examen

• Critères d'examen, pondération des questions et liste de terminologie
• Exemple d'examen