Schulung

DevSecOps: Sicherheit in der CI/CD Pipeline

Sicherheit in (agilen) Softwareentwicklungsprozessen verankern

Auch als interaktive Online-Schulung verfügbar.

Diese Schulung gibt Antworten auf folgende Fragen:

Was ist “Early Security Testing”?

Welches sind die nützlichsten Tools zu automatisierten Überprüfung der Sicherheit?

Warum ist das frühzeitige Auffinden von Schwachstellen so wichtig?

Wie lässt sich Security-by-Design erreichen?


Beschreibung

Dieses Hands-on Training richtet sich an Softwareentwickler, DevOps Engineer oder Architekten und vermittelt die theoretischen und praktischen Grundlagen von toolgestütztem „Early Security Testing“.

Die Behebung von Sicherheitslücken nach dem Ausrollen von Software ist teuer. Im Vergleich mit einer Behebung der Schwachstelle zum Zeitpunkt der Entwicklung muss von einem Vielfachen der Kosten ausgegangen werden. Folglich ist das frühzeitige Auffinden von Schwachstellen (idealerweise direkt zum Zeitpunkt der Implementierung) eine der wichtigsten Zielstellungen für eine sichere und dennoch kosteneffiziente Softwareentwicklung (Shift-Left). Durch die Integration von automatisierten Security-Testing-Tools in die CI/CD Pipeline können bestimmte Sicherheitsprobleme bereits sehr früh im Entwicklungszyklus erkannt und behoben werden.

In unserem praktischen DevSecOps Seminar vermittelt der Referent das für einen Secure Software Development Life Cycle (SSDLC) notwendige Domänenwissen. Darauf aufbauend werden die Teilnehmer befähigt, verschiedene Security-Testing-Tools basierend auf unseren jahrelangen Praxiserfahrungen in die CI/CD Pipeline zu integrieren. Aus folgenden Kategorien werden empfehlenswerte Security-Testing-Tools anhand von praktischen Hands-on Übungen und Showcases vorgestellt und deren Best-Practices Verwendung erklärt:

  • Software Composition Analysis (SCA)

  • Static Application Security Testing (SAST)

  • Dynamic Application Security Testing (DAST)

  • Interactive Application Security Testing (IAST)

  • Compliance as Code (CaC)

  • Infrastructure as Code (IaC)


Kursinhalt

Basics

  • The need for DevSecOps

  • What is Web Application Security

  • Basic Terms of IT-Security

Secure Coding / SSDLC

  • Security by Design

  • Finding the right protection level

  • DevSecOps – Tools and Phases

  • Sourcecode Analysis

  • Hand-On Training: SAST/DAST

Build and Deployment

  • Supply Chain Attacks

  • Dependency Confusion

  • Handling of 3rd Party Libraries

  • Docker (Attack vectors, Image Security, Container Security)

  • Hands-On Training: SCA

  • Showcase: IaC

  • Showcase: CaC

Operations

  • Known Vulnerabilities

  • Information Disclosure

  • Countermeasures on Infrastructure Level


Facts

Zielgruppe

  • Softwareentwickler

  • DevOps Engineers

  • Architekten

Dauer

1 bis 2 Tage

Das Seminar bietet sich auch zur Durchführung in Form eines Workshops an, in dem die individuelle Kundensituation, der Schutzbedarf und spezifische Ansatzpunkte mit eingebracht und lösungsorientiert diskutiert werden.

Unsere Experten bringen aufgrund ihrer langjährigen praktischen Erfahrungen eine hohe Glaubwürdigkeit bei der Darstellung realitätsbezogener Gefahren mit.


Trainer

Unsere Trainer sind aktiv tätige erfahrene Security Consultants

Zurück
Zurück

Secure Coding für Mobile Apps

Weiter
Weiter

Best-Practices der Cloud Security