Practical DevSecOps Training

Robin Herrmann

Kurzinformationen

30. Mai. 2023 - 31. Mai. 2023

remote
€ 1790.00 zzgl. MwSt
€ 2130.10 inkl. MwSt

Neu

Detailinformationen

Die Behebung von Sicherheitslücken nach dem Ausrollen von Software ist teuer. Im Vergleich mit einer Behebung der Schwachstelle zum Zeitpunkt der Entwicklung muss von einem Vielfachen der Kosten ausgegangen werden. Folglich ist das frühzeitige Auffinden von Schwachstellen (idealerweise direkt zum Zeitpunkt der Implementierung) eine der wichtigsten Zielstellungen für eine sichere und dennoch kosteneffiziente Softwareentwicklung (Shift-Left). Durch die Integration von automatisierten Security-Testing-Tools in die CI/CD Pipeline können bestimmte Sicherheitsprobleme bereits sehr früh im Entwicklungszyklus erkannt und behoben werden.

In unserem praktischen DevSecOps Seminar vermittelt der Referent das für einen Secure Software Development Life Cycle (SSDLC) notwendige Domänenwissen. Darauf aufbauend werden die Teilnehmer befähigt, verschiedene Security-Testing-Tools basierend auf unseren jahrelangen Praxiserfahrungen in die CI/CD Pipeline (Gitlab) zu integrieren. Aus folgenden Kategorien werden empfehlenswerte Security-Testing-Tools anhand von praktischen Hands-on Übungen und Showcases vorgestellt und deren Best-Practices Verwendung erklärt:

  • Software Composition Analysis (SCA)
  • Static Application Security Testing (SAST)
  • Dynamic Application Security Testing (DAST)
  • Interactive Application Security Testing (IAST)
  • Compliance as Code (CaC)
  • Infrastructure as Code (IaC)

Der Inhalt des Seminars teilt sich in vier durch die Praxis geprägte Module auf, welche unter anderem folgende Themenbereiche vermitteln:

Basics

  • The need for DevSecOps
  • What is Web Application Security
  • Basic Terms of IT-Security
  • ...

Secure Coding / SSDLC

  • Security by Design
  • Finding the right protection level
  • DevSecOps - Tools and Phases
  • Sourcecode Analysis
  • Hand-On Training: SAST/DAST

Build and Deployment

  • Supply Chain Attacks
  • Dependency Confusion
  • Handling of 3rd Party Libraries
  • Docker (Attack vectors, Image Security, Container Security)
  • Hands-On Training: SCA
  • Showcase: IaC
  • Showcase: CaC

Operations

  • Known Vulnerabilities
  • Information Disclosure
  • Countermeasures on Infrastructure Level

Herrmann, Robin

Robin Herrmann ist IT-Security Consultant bei mgm security partners mit der Spezialisierung auf SSDLC und DevSecOps. Als Mitentwickler eines Frameworks zur Integration von Security-Tools in CI/CD-Pipelines berät er Unternehmen in ihren DevSecOps-Transformationsprozessen.

Seminarziel

Die Seminarteilnehmer erhalten in diesem Seminar ein grundlegendes Verständnis für die Vorteile von toolgestütztem "Early Security Testing". Darüber hinaus sind sie nach dem Seminarbesuch nicht nur in der Lage, ausgewählte Analyse-Werkzeuge effektiv in Ihre CI/CD Pipeline zu integrieren, sondern das Hands-On Wissen auch auf künftige Tools anzuwenden.

Hatten Sie immer schon das Gefühl, dass der obligatorische Penetrationstest am Ende der Entwicklung ihrer Software nicht das effektivste Mittel für eine sichere Softwareentwicklung ist? Wurden Sie schon einmal nach dem Go-live einer Software mit Sicherheitsproblemen konfrontiert, die Sie an der Rand der Abschaltung dieser Software gebracht haben? Dann sind Sie in dieser Schulung richtig! Hier vermitteln wir Ihnen die theoretischen und praktischen Grundlagen des "Early Security Testings" und wie sie mittels automatisierter Security-Testing-Tools die gröbsten Schwachstellen ihrer Software automatisiert schon bei der Entwicklung entdecken können. Sichere Softwareentwicklung von Beginn an.

Zielgruppe

  • Softwareentwickler
  • DevOps Experten
  • QA Tester

Voraussetzungen

  • allgemeines Verständnis von Zweck und Funktionsweise von CI/CD Pipelines
  • Der vorhergehende Besuch des SIGS-DATACOM-Seminars "Best Practices für sichere Web-Anwendungen" ist hilfreich, aber nicht erforderlich

Sprachen

Seminar: Deutsch

Unterlagen: Englisch