聯繫我們

課程簡介

1. DevSecOps 基礎:安全即設計

🔍 學習內容:DevSecOps 核心原則與安全 SDLC

🛠️ 示範:舊式與現代安全管線的並排比較

🔧 實驗室練習:建立您的第一個 DevSecOps -enabled 管線模板

2. OWASP ZAP 安全測試速成班

💣 Breach 模擬:

  • 部署具有 SQLi 和 XSS 漏洞的應用程式
  • 使用 OWASP ZAP 檢測並緩解威脅

⚙️ 防禦策略:

  • ZAP 自動化掃描
  • 透過 ZAP API 進行 CI/CD 整合

🧪 實驗室練習:自定義 ZAP 基線掃描與攻擊規則

🎯 挑戰:「十分鐘內找到隱藏的管理員面板」

3. 依賴地獄:供應鏈防禦

💣 Breach 模擬:

  • 注入包含 CVE 惡意的 npm 套件

🛡️ 防禦策略:

  • 使用 OWASP Dependency-Track 監控漏洞
  • 執行策略門控,在關鍵 CVE 時中止構建

🧪 實驗室練習:建立漏洞策略與警報工作流程

⚠️ 震撼示範:「單一不良依賴如何接管你的基礎設施」

4. 漏洞管理指揮中心

💣 Breach 模擬:

  • 利用未修復的容器漏洞進行攻擊

🛡️ 防禦策略:

  • 使用 OWASP DefectDojo 集中報告
  • 使用 Trivy 掃描容器

🧪 實驗室練習:建立用於 CISO / 高管報告的真實儀表板

🏁 競賽:「比對手更快地分類 50 個發現項目」

5. 密碼與配置消防演練

💣 Breach 模擬:

  • 使用 truffleHog 從 Git 歷史中竊取密碼

🛡️ 防禦策略:

  • 預提交鉤子阻止如 password=.* 等模式
  • 使用 ZAP 的配置蜘蛛來揭露危險設定

🧪 實驗室練習:實施 GitHub Actions 密碼掃描

🚨 現實檢查:「你的資料庫密碼就在 Slack 裡」

6. 總結:DevSecOps 作戰計劃

🧭 OWASP 整合路線圖:

  • 規劃您的 DefectDojo、Dependency-Track 和 ZAP 採用策略

📋 個人行動計劃:

  • 草擬您的 30 天安全檢查清單
  • 定義您的 DevSecOps KPI 與報告儀表板

最低要求

基礎軟體和 SDLC 經驗

目標受眾

DevOps、安全與雲端工程師,厭惡理論性安全講座者

 7 小時

人數


每位參與者的報價

客戶評論 (2)

即將到來的課程

課程分類