Merci d'avoir envoyé votre demande ! Un membre de notre équipe vous contactera sous peu.
Merci d'avoir envoyé votre réservation ! Un membre de notre équipe vous contactera sous peu.
Plan du cours
1. Fondements de DevSecOps : Sécurité par conception
🔍 Apprendre : Principes fondamentaux de DevSecOps et SDLC sécurisé
🛠️ Démonstration : Comparaison en parallèle des pipelines sécurisés hérités vs modernes
🔧 Atelier : Construire votre premier modèle de pipeline habilité par DevSecOps
2. Bootcamp de Test de Sécurité ZAP OWASP
💣 Simulation d'intrusion :
- Déployer une application vulnérable avec SQLi et XSS
- Utiliser ZAP OWASP pour détecter et atténuer les menaces
⚙️ Stratégies de défense :
- Détection automatisée avec ZAP
- Intégration CI/CD via l'API ZAP
🧪 Atelier : Personnaliser les balises de scan ZAP et les règles d'attaque
🎯 Défi : “Trouvez le panneau administrateur caché en 10 minutes”
3. Enfer des dépendances : Défense de la chaîne d'approvisionnement
💣 Simulation d'intrusion :
- Injection de package npm malveillant avec CVEs
🛡️ Stratégies de défense :
- Suivi des vulnérabilités avec OWASP Dependency-Track
- Vérification des portes d'accès à la politique qui échouent les builds sur les CVEs critiques
🧪 Atelier : Créer des politiques de vulnérabilité et des workflows d'alerte
⚠️ Démonstration choquante : “Comment une mauvaise dépendance peut prendre le contrôle de votre infrastructure”
4. Salle des crises des vulnérabilités Management
💣 Simulation d'intrusion :
- Exploiter les vulnérabilités non corrigées des conteneurs
🛡️ Stratégies de défense :
- Centraliser la mise en rapport avec OWASP DefectDojo
- Analyser les conteneurs avec Trivy
🧪 Atelier : Construire des tableaux de bord réels pour le rapport du CISO et des dirigeants
🏁 Concours : “Classer 50 constats plus rapidement que vos concurrents”
5. Répétition incendie des secrets et de la configuration
💣 Simulation d'intrusion :
- Exfiltrer les secrets de l'historique Git en utilisant truffleHog
🛡️ Stratégies de défense :
- Blocages des hooks avant le commit pour bloquer des motifs comme
password=.* - Utiliser l'araignée de configuration ZAP pour révéler les paramètres dangereux
🧪 Atelier : Implémenter GitHub Actions scan secrets
🚨 Vérification de la réalité : “Votre mot de passe de base de données est dans Slack en ce moment”
6. Conclusion : Plan d'attaque DevSecOps
🧭 OWASP Roadmap d'intégration :
- Planifier votre adoption de DefectDojo, Dependency-Track et ZAP
📋 Plan d'action personnel :
- Rédiger votre liste de contrôle de sécurité en 30 jours
- Définir vos KPIs DevSecOps et tableaux de bord de rapport
Pré requis
Expérience en logiciels de base et dans le cycle de vie du développement logiciel (SDLC)
Public cible
DevOps, Ingénieurs en sécurité et cloud qui détestent les discours théoriques sur la sécurité
7 Heures
Nos clients témoignent (1)
Il y avait de nombreux exercices pratiques supervisés et assistés par le formateur.
Aleksandra - Fundacja PTA
Formation - Mastering Make: Advanced Workflow Automation and Optimization
Traduction automatique
