模块

培训主题

培训内容

模块一

DevSecOps 入门介绍（DevSecOps 一目了然）

1.  核心概念导入：讲解DevSecOps的定义、起源与发展现状，明确DevSecOps与DevOps的关联与差异，阐述DevSecOps在大规模保护、改进动态系统中的核心价值；

2.  CI/CD核心解析：详解持续整合（CI）、持续交付（CD）的完整流程，分析DevOps流程中常见的安全隐患与风险点，明确安全融入的必要性；

3.  安全左移实践：深入讲解“将安全性向左移动”的核心内涵、实践原则，结合案例说明如何在DevOps全流程（需求、开发、测试、部署）中嵌入安全实践，实现DevOps方式的安全落地。

模块二

DevSecOps 方法论

1.  DevOps技术安全要点：拆解DevOps核心技术（版本管理、自动化部署、容器化等）的安全风险，讲解各类技术的安全防护要点与实践方法；

2.  安全与生命周期交互：明确安全性与应用程式、开发生命周期的交互时机、交互方式，讲解如何在每个生命周期阶段嵌入对应的安全活动，实现全程安全管控；

3.  共享拥有权落地：讲解DevSecOps场景下安全责任与活动的共享拥有权理念，明确研发、运维、安全团队的具体安全职责，分享跨团队协同共治的实践经验与方法。

模块三

DevSecOps 与 Jenkins 实操

1.  Jenkins基础配置：讲解Jenkins在DevSecOps中的核心作用，实操演示Jenkins的安装、配置，掌握代理创建的方法与技巧；

2.  管道作业搭建：实操创建DevSecOps管道作业，梳理管道作业的核心流程，实现作业的自动化触发与执行；

3.  SAST安全扫描：集成SYNK、SonarQube工具，实操完成静态应用安全测试（SAST），讲解扫描规则配置、漏洞分析与修复方法；

4.  DAST安全扫描：集成Arachini、OWASP-ZAP工具，实操完成动态应用安全测试（DAST），模拟真实攻击场景，排查应用运行中的安全漏洞；

5.  图像安全扫描：集成Anchore、Aqua MicroScanner工具，实操完成容器镜像、应用图像的安全扫描，排查镜像中的安全隐患；

6.  DevSecOps管道开发与CI/CD启用：整合各类安全工具与流程，开发完整的DevSecOps管道，实操启用CI/CD安全自动化流程，实现安全与交付的无缝衔接。

模块四

安全自动化

1.  安全测试自动化工具：讲解Gaunit工具的核心功能与安装配置方法，实操使用Gaunit实现安全测试用例的自动化编写、执行与结果分析；

2.  自动攻击实操：实操演示自动攻击的配置与运行方法，模拟常见网络攻击场景，掌握自动攻击的监控、日志分析与漏洞定位技巧，提升安全检测的自动化水平。

模块五

应用程式安全自动化

1.  常见攻击自动化与重构：实操完成XSS（跨站脚本）攻击、SQLi（SQL注入）攻击的自动化测试，讲解攻击脚本的重构方法，实现攻击场景的精准模拟；

2.  自动化模糊测试：讲解模糊测试的核心原理与价值，实操实现自动化模糊测试，排查应用程式中隐藏的输入验证漏洞、逻辑漏洞；

3.  交付管道安全测试嵌入：讲解如何将应用程式安全测试无缝嵌入软体交付管道，实现“测试即代码”，确保每一次交付都经过严格安全校验；

4.  实操复盘与优化：梳理应用程式安全自动化实操中的常见问题，分享漏洞修复的最佳实践，提升安全自动化的有效性。