DevOps Institute: DevSecOps Foundation - Including Exam

Cette formation s'adresse à toute personne impliquée ou souhaitant en apprendre davantage sur les stratégies et l'automatisation de DevSecOps : équipes de conformité, Ingénieurs DevOps, responsables informatiques, professionnels de la sécurité informatique, équipes de maintenance et support, gestionnaires de produits, Scrum Masters, ingénieurs logiciels et testeurs.

A l'issue de la formation, les participants seront capables de :

• Identifier les objet, avantages, concepts et vocabulaire de DevSecOps
• Expliquer les différences entre les pratiques de sécurité de DevOps et les autres approches de sécurité
• Comprendre les stratégies de sécurité axées sur les entreprises
• Comprendre et appliquer les sciences de la sécurité et des données
• Décrire l'utilisation et les avantages des équipes rouges et bleues
• Intégrer la sécurité dans les flux de travaux de livraison continue
• Expliquer comment les rôles de DevSecOps s'intègrent-ils à la culture et à l'organisation de DevOps

Introduction

• Objectifs et déroulé du cours
• Exercice: schématiser votre pipeline CI / CD
• Pourquoi DevSecOps?
• Termes et concepts clés

Pourquoi DevSecOps est important

• 3 façons de penser à DevOps + Security
• Principes clés de DevSecOps

Culture et management

• Termes et concepts clés
• Modèle d'incitation
• La résilience
• La culture organisationnelle
• Générativité
• Erickson, Westrum et LaLoux
• Exercice : Influencer la culture

Considérations stratégiques

• Termes et concepts clés
• Quel volume de sécurité est considéré comme suffisant?
• Modélisation de la menace
• Le contexte est tout
• Gestion des risques dans un monde à grande vitesse
• Exercice: Mesurer le succès

Considérations générales sur la sécurité

• Eviter le piège de la case à cocher
• Hygiène de sécurité élémentaire
• Considérations architecturales
• Identité fédérée
• Gestion des journaux

IAM : Gestion des identités et des accès

• Termes et concepts clés
• Concepts de base d'IAM
• Directives de mise en oeuvre
• Opportunités d'automatisation
• Comment se faire mal avec IAM
• Exercice: surmonter les défis de l'IAM

Sécurité des applications

• Tests de sécurité des applications (AST)
• Techniques d'essai
• Prioriser les techniques de test
• Intégration de la gestion des problèmes
• Modélisation de la menace
• Automatiser

Sécurité opérationnelle

• Termes et concepts clés
• Pratiques d'hygiène de sécurité de base
• Rôle de la gestion des opérations
• L'environnement des opérations
• Exercice: Ajout de sécurité à votre pipeline CI / CD

Gouvernance, Risques, Conformité (GRC) et Audit

• Termes et concepts clés
• Qu'est-ce que la GRC?
• Pourquoi se soucier de la GRC?
• Repenser les politiques
• Politique en tant que code
• Déplacement de la vérification à gauche
• 3 mythes sur la séparation des tâches et les devOps
• Exercice: Mise en oeuvre de stratégies, d'audit et de conformité avec DevOps

Journalisation, surveillance et réponse

• Termes et concepts clés
• Configuration de la gestion des journaux
• Réponse aux incidents et expertise judiciaire
• Intelligence de la menace et partage de l'information

Préparation à l'examen

• Critères d'examen, pondération des questions et liste de terminologie
• Exemple d'examen

Aucun

Les participants qui réussissent avec succès l'examen (seuil de réussite 65%) reçoivent la qualification ingénieur certifié DevSecOps (DSOE). La certification est régie et maintenue par le DevOps Institute.

L'examen est composé de 40 questions à choix multiples (en anglais) et dure environ 60 minutes

Un support de cours en anglais est remis à chaque participant.