|
课程培训
|
DevSecOps实战培训课程
DevSecOps实战培训课程大纲 一、培训对象 1. 开发人员:需熟悉安全编码规范,掌握自动化安全测试工具(如SAST/DAST)的使用。 2. 运维人员:需了解容器与云原生环境下的安全配置管理(如Kubernetes RBAC、镜像漏洞扫描)。 3. 安全团队:需参与DevOps流程,主导威胁建模与漏洞优先级排序,推动安全左移。 4. 技术管理者:需制定DevSecOps落地策略,协调跨团队资源,优化安全与效率的平衡。 二、培训目标 1. 技能提升:熟练使用DevSecOps工具链(如SonarQube、Trivy、OWASP ZAP),配置自动化安全门禁。 2. 流程优化:将安全检查嵌入CI/CD流水线,实现“开发-测试-部署”全流程安全管控。 3. 文化转变:建立“安全即责任”的协作模式,减少开发与安全团队的沟通摩擦,提升团队安全意识。 4. 实战能力:通过真实案例演练,快速定位并修复常见安全漏洞(如SQL注入、XSS、依赖漏洞)。 三、培训内容与案例说明 模块1:DevSecOps基础与工具链 · 内容: · DevSecOps核心原则:安全左移、自动化、协作文化。 · 工具链分类:SAST(静态分析)、DAST(动态分析)、SCA(依赖扫描)、IAST(交互式分析)。 · 案例: · 某电商系统通过SonarQube扫描发现未加密存储的用户密码,修复后避免数据泄露风险。 模块2:安全门禁与CI/CD集成 · 内容: · 在Jenkins/GitLab CI中配置安全检查节点(如SAST扫描、镜像漏洞扫描)。 · 自动化门禁策略:扫描失败时阻断部署并触发告警(如Slack/邮件通知)。 · 案例: · 某金融APP在代码合并时触发OWASP Dependency-Check告警,阻止含Log4j漏洞的依赖库上线。 模块3:容器与云原生安全实践 · 内容: · 镜像安全扫描(Trivy)、容器运行时安全(Falco)。 · Kubernetes集群安全配置:RBAC权限控制、Network Policy网络隔离。 · 案例: · 某物流平台通过Trivy扫描发现Docker镜像中存在CVE-2021-44228漏洞,及时更新镜像避免服务中断。 模块4:安全运营与持续改进 · 内容: · 漏洞优先级排序(CVSS评分+业务影响分析)。 · 安全度量指标:MTTR(平均修复时间)、漏洞密度、扫描覆盖率。 · 案例: · 某制造企业通过Jira整合安全漏洞,将MTTR从72小时缩短至12小时。 模块5:实战演练与沙箱环境 · 内容: · 分组完成“漏洞扫描-修复-验证”全流程,使用故意植入漏洞的样本项目模拟真实场景。 · 工具实操:SAST/DAST扫描、镜像修复、Kubernetes安全策略配置。 · 案例: · 学员团队在演练中发现某Web应用存在XSS漏洞,通过输入过滤与CSP策略成功修复。
如果您想学习本课程,请预约报名
如果没找到合适的课程或有特殊培训需求,请订制培训 除培训外,同时提供相关技术咨询与技术支持服务,有需求请发需求表到邮箱soft@info-soft.cn,或致电4007991916 技术服务需求表点击在线申请 服务特点: 海量专家资源,精准匹配相关行业,相关项目专家,针对实际需求,顾问式咨询,互动式授课,案例教学,小班授课,实际项目演示,快捷高效,省时省力省钱。 专家力量: 中国科学院软件研究所,计算研究所高级研究人员 oracle,微软,vmware,MSC,Ansys,candence,Altium,达索等大型公司高级工程师,项目经理,技术支持专家 中科信软培训中心,资深专家或讲师 大多名牌大学,硕士以上学历,相关技术专业,理论素养丰富 多年实际项目经历,大型项目实战案例,热情,乐于技术分享 针对客户实际需求,案例教学,互动式沟通,学有所获 |
|
