JOBS
WIR BIETEN 
CHANCEN!
Schulungen

DevSecOps: Sicherheit in der CI/CD Pipeline

Das Hands-on Training DevSecOps richtet sich an Softwareentwickler, DevOps Engineer oder Architekten und vermittelt die theoretischen und praktischen Grundlagen von toolgestütztem „Early Security Testing“.

Hintergrund

Die Behebung von Sicherheitslücken nach dem Ausrollen von Software ist teuer. Im Vergleich mit einer Behebung der Schwachstelle zum Zeitpunkt der Entwicklung muss von einem Vielfachen der Kosten ausgegangen werden. Folglich ist das frühzeitige Auffinden von Schwachstellen (idealerweise direkt zum Zeitpunkt der Implementierung) eine der wichtigsten Zielstellungen für eine sichere und dennoch kosteneffiziente Softwareentwicklung (Shift-Left).

Durch die Integration von automatisierten Security-Testing-Tools in die CI/CD Pipeline können bestimmte Sicherheitsprobleme bereits sehr früh im Entwicklungszyklus erkannt und behoben werden.

Training

In unserem praktischen DevSecOps Seminar vermittelt der Referent das für einen Secure Software Development Life Cycle (SSDLC) notwendige Domänenwissen. Darauf aufbauend werden die Teilnehmer befähigt, verschiedene Security-Testing-Tools basierend auf unseren jahrelangen Praxiserfahrungen in die CI/CD Pipeline zu integrieren. Aus folgenden Kategorien werden empfehlenswerte Security-Testing-Tools anhand von praktischen Hands-on Übungen und Showcases vorgestellt und deren Best-Practices Verwendung erklärt:
  • Software Composition Analysis (SCA)
  • Static Application Security Testing (SAST)
  • Dynamic Application Security Testing (DAST)
  • Interactive Application Security Testing (IAST)
  • Compliance as Code (CaC)
  • Infrastructure as Code (IaC)

Kursinhalt

Basics
  • The need for DevSecOps
  • What is Web Application Security
  • Basic Terms of IT-Security
Secure Coding / SSDLC
  • Security by Design
  • Finding the right protection level
  • DevSecOps – Tools and Phases
  • Sourcecode Analysis
  • Hand-On Training: SAST/DAST
Build and Deployment
  • Supply Chain Attacks
  • Dependency Confusion
  • Handling of 3rd Party Libraries
  • Docker (Attack vectors, Image Security, Container Security)
  • Hands-On Training: SCA
  • Showcase: IaC
  • Showcase: CaC
Operations
  • Known Vulnerabilities
  • Information Disclosure
  • Countermeasures on Infrastructure Level

Facts

Zielgruppe
  • DevOps Engineer
  • Softwareentwickler
  • Sicherheitsbeauftragte
Dauer
2 Tage oder individuell zugeschnitten
Voraussetzungen
Keine
Das Seminar bietet sich auch zur Durchführung in Form eines Workshops an, in dem die individuelle Kundensituation, der Schutzbedarf und spezifische Ansatzpunkte mit eingebracht und lösungsorientiert diskutiert werden.

Trainer:

Robin Herrmann
Sicherheitsberater in vielen Softwareprojekten

Ihr Ansprechpartner:

Nehmen Sie Kontakt per Email auf oder rufen Sie uns an:

Dr.-Ing. Benjamin Kellermann
Tel.: 089 - 358 680 880
E-MAIL

Mehr Schulungen:

ZUR ÜBERSICHT