Programa do Curso
1. Fundamentos do DevSecOps: Segurança desde o Design
🔍 Aprender: Princípios centrais do DevSecOps & SDLC seguro
🛠️ Demonstração: Comparação lado a lado entre pipelines legados e modernos seguros
🔧 Laboratório: Construa seu primeiro modelo de pipeline habilitado para DevSecOps
2. Campo de Treinamento de Testes de Segurança com OWASP ZAP
💣 Simulação de Brecha:
- Implante um aplicativo vulnerável com SQLi & XSS
- Use o OWASP ZAP para detectar e mitigar ameaças
⚙️ Táticas de Defesa:
- Scanning automatizado com ZAP
- Integração CI/CD via API do ZAP
🧪 Laboratório: Personalize scans base do ZAP + regras de ataque
🎯 Desafio: “Encontre o painel admin oculto em 10 minutos”
3. Inferno das Dependências: Defesa da Cadeia de Suprimentos
💣 Simulação de Brecha:
- Injete um pacote npm malicioso com CVEs
🛡️ Táticas de Defesa:
- Monitore vulnerabilidades com OWASP Dependency-Track
- Aponte gates de política que falham builds em CVEs críticos
🧪 Laboratório: Crie políticas de vulnerabilidade & fluxos de alerta
⚠️ Demonstração Impactante: “Como uma dependência ruim pode assumir sua infraestrutura”
4. Sala de Guerra do Gerenciamento de Vulnerabilidades
💣 Simulação de Brecha:
- Explore vulnerabilidades não corrigidas em contêineres
🛡️ Táticas de Defesa:
- Centralize o relatório com OWASP DefectDojo
- Escaneie contêineres com Trivy
🧪 Laboratório: Construa dashboards reais para relatórios CISO/executivos
🏁 Competição: “Triagem 50 achados mais rápido que seus rivais”
5. Prática de Fuga com Segredos & Configurações
💣 Simulação de Brecha:
- Exfiltra segredos do histórico do Git usando truffleHog
🛡️ Táticas de Defesa:
- Ganchos pré-commit para bloquear padrões como
password=.* - Use o spider de configuração do ZAP para revelar configurações perigosas
🧪 Laboratório: Implemente a varredura de segredos do GitHub Actions
🚨 Verificação da Realidade: “A senha do seu banco de dados está no Slack agora”
6. Encerramento: Plano de Batalha DevSecOps
🧭 Roteiro de Integração OWASP:
- Planeje a adoção do DefectDojo, Dependency-Track e ZAP
📋 Plano de Ação Pessoal:
- Rascunhe sua lista de verificação de segurança de 30 dias
- Defina seus KPIs de DevSecOps & dashboards de relatórios
Requisitos
Experiência fundamental em software e SDLC
Público-alvo
Engenheiros DevOps, Segurança & Cloud que não suportam palestras teóricas sobre segurança
Testemunhos de Clientes (2)
Craig esteve extremamente envolvido no treinamento, sempre garantindo que estivéssemos atentos, adaptando os exemplos às nossas atividades do dia a dia e sempre fornecendo uma resposta quando solicitado, mesmo que as informações não tivessem sido incluídas na apresentação.
Ecaterina Ioana Nicoale - BOOKING HOLDINGS ROMANIA SRL
Curso - DevOps Foundation®
Máquina Traduzida
Alto nível de comprometimento e conhecimento do instrutor
Jacek - Softsystem
Curso - DevOps Engineering Foundation (DOEF)®
Máquina Traduzida