DevSecOps in der Praxis

Das Hands-on Training DevSecOps richtet sich an Softwareentwickler, DevOps Engineer oder Architekten und vermittelt die theoretischen und praktischen Grundlagen von toolgestütztem „Early Security Testing“.

Die Behebung von Sicherheitslücken nach dem Ausrollen von Software ist teuer. Im Vergleich mit einer Behebung der Schwachstelle zum Zeitpunkt der Entwicklung muss von einem Vielfachen der Kosten ausgegangen werden. Folglich ist das frühzeitige Auffinden von Schwachstellen (idealerweise direkt zum Zeitpunkt der Implementierung) eine der wichtigsten Zielstellungen für eine sichere und dennoch kosteneffiziente Softwareentwicklung (Shift-Left). Durch die Integration von automatisierten Security-Testing-Tools in die CI/CD Pipeline können bestimmte Sicherheitsprobleme bereits sehr früh im Entwicklungszyklus erkannt und behoben werden.

In unserem praktischen DevSecOps Seminar vermittelt der Referent das für einen Secure Software Development Life Cycle (SSDLC) notwendige Domänenwissen. Darauf aufbauend werden die Teilnehmer befähigt, verschiedene Security-Testing-Tools basierend auf unseren jahrelangen Praxiserfahrungen in die CI/CD Pipeline zu integrieren. Aus folgenden Kategorien werden empfehlenswerte Security-Testing-Tools anhand von praktischen Hands-on Übungen und Showcases vorgestellt und deren Best-Practices Verwendung erklärt:

  • Software Composition Analysis (SCA)
  • Static Application Security Testing (SAST)
  • Dynamic Application Security Testing (DAST)
  • Interactive Application Security Testing (IAST)
  • Compliance as Code (CaC)
  • Infrastructure as Code (IaC)

Kursinhalt

  • Basics
    • The need for DevSecOps
    • What is Web Application Security
    • Basic Terms of IT-Security
  • Secure Coding / SSDLC
    • Security by Design
    • Finding the right protection level
    • DevSecOps – Tools and Phases
    • Sourcecode Analysis
    • Hand-On Training: SAST/DAST
  • Build and Deployment
    • Supply Chain Attacks
    • Dependency Confusion
    • Handling of 3rd Party Libraries
    • Docker (Attack vectors, Image Security, Container Security)
    • Hands-On Training: SCA
    • Showcase: IaC
    • Showcase: CaC
  • Operations
    • Known Vulnerabilities
    • Information Disclosure
    • Countermeasures on Infrastructure Level

Zielgruppe

  • Softwareentwickler
  • DevOps Engineer
  • Architekten

Dauer

2 Tage oder individuell zugeschnitten

Voraussetzungen

keine

Trainer

Robin Herrmann
Sicherheitsberater in vielen Softwareprojekten

Unser Schulungsangebot richtet sich an Unternehmen und Organisationen. Schon ab drei Teilnehmern kann eine Schulung wirtschaftlich sein. Diese findet bei Ihnen im Haus statt oder wird von uns in Ihrer Wunschumgebung organisiert.

Ihr Ansprechpartner:

Dr.-Ing. Benjamin Kellermann

Nehmen Sie Kontakt per Email auf.
Oder rufen Sie uns an oder nutzen Sie unser Kontaktformular.