DevSecOps Foundation certifié
A travers cette formation, les participants découvrent la manière dont DevSecOps fournit une valeur métier, facilite la transformation de l'entreprise et soutient une transformation organisationnelle permettant à l'entreprise d'augmenter la productivité de ses produits tout en réduisant les risques et en optimisant les coûts.
Ce cours explique en quoi les pratiques de sécurité de DevOps diffèrent des autres approches en matière de sécurité et fournit les compétences nécessaires pour comprendre et appliquer les sciences de la sécurité et des données.
Durée
.
Publics cibles
- Équipes de conformité
- Ingénieurs DevOps
- Responsables informatiques
- Professionnels de la sécurité informatique
- Les Scrum Masters
- Les logiciels et testeurs
Pré-requis
Avoir une certaine connaissance des services IT en général, notamment de la sécurité et des méthodologies Agile (Scrum).
Objectifs
Acquérir et maîtriser les compétences suivantes:
- Objet, avantages, concepts et vocabulaire de DevSecOps
- Différences entre les pratiques de sécurité de DevOps et les autres approches de sécurité
- Stratégies de sécurité axées sur les entreprises
- Comprendre et appliquer les sciences de la sécurité et des données
- L'utilisation et les avantages des équipes rouges et bleues
- Intégration de la sécurité dans les flux de travaux de livraison continue
- Comment les rôles de DevSecOps s'intègrent-ils à la culture et à l'organisation de DevOps
Certifications
Programme détaillé
Introduction et explication sur DevSecOps
- Objectifs et déroulé du cours
- Exercice : schématiser votre pipeline CI / CD
Pourquoi DevSecOps ?
- Terminologie et notions clés
- Pourquoi DevSecOps devient de plus en plus important
- Trois façons de penser l'approche DevOps avec la sécurité
- Principes clés de DevSecOps
Culture Management
- Terminologie et notions clés
- Modèle d'incitation
- La résilience
- La culture organisationnelle
- Générativité
- Erickson, Westrum et LaLoux
- Exercice : Influencer la culture
Considérations stratégiques
- Terminologie et notions clés
- Quel volume de sécurité est considéré comme suffisant?
- Modélisation de la menace
- Le contexte est tout
- Gestion des risques dans un monde à grande vitesse
- Exercice : Mesurer le succès
Considérations générales sur la sécurité
- Éviter le piège de la case à cocher
- Hygiène de sécurité élémentaire
- Considérations architecturales
- Identité fédérée
- Gestion des journaux
IAM : Gestion des identités et des accès
- Terminologie et notions clés
- Concepts de base d'IAM
- Directives de mise en œuvre
- Opportunités d'automatisation
- Comment se faire mal avec IAM
- Exercice : surmonter les défis de l'IAM
Sécurité des applications
- Tests de sécurité des applications (AST)
- Techniques d'essai
- Prioriser les techniques de test
- Intégration de la gestion des problèmes
- Modélisation de la menace
- Automatiser
Sécurité opérationnelle
- Terminologie et notions clés
- Pratiques d'hygiène de sécurité de base
- Rôle de la gestion des opérations
- L'environnement des opérations
- Exercice : Ajout de sécurité à votre pipeline CI / CD
Gouvernance, Risques, Conformité (GRC) et Audit
- Terminologie et notions clés
- Qu'est-ce que la GRC ?
- Pourquoi se soucier de la GRC ?
- Repenser les politiques
- Politique en tant que code
- Déplacement de la vérification à gauche
- Trois mythes sur la séparation des tâches et les DevOps
- Exercice : Mise en œuvre de stratégies, d'audit et de conformité avec DevOps
Journalisation, surveillance et réponse
- Terminologie et notions clés
- Configuration de la gestion des journaux
- Réponse aux incidents et expertise judiciaire
- Intelligence de la menace et partage de l'information
Préparation à l'examen
- Critères d'examen, pondération des questions et liste de terminologie
- Exemple d'examen