Schulungsübersicht
1. DevSecOps-Grundlagen: Sicherheit durch Design
🔍 Lernen: Kernprinzipien von DevSecOps & sichere SDLC
🛠️ Demo: Gegenüberstellung alter vs. moderner sicherer Pipelines
🔧 Labor: Erstellen Sie Ihre erste DevSecOps-Pipeline-Vorlage
2. OWASP ZAP-Sicherheitstest-Bootcamp
💣 Kompromittierungssimulation:
- Bereitstellung einer verwundbaren Anwendung mit SQLi & XSS
- Verwendung von OWASP ZAP zur Erkennung und Abwehr von Bedrohungen
⚙️ Abwehrtaktiken:
- Automatisierte Scans mit ZAP
- CI/CD-Integration über die ZAP-API
🧪 Labor: Anpassen von ZAP-Basis-Scans + Angriffsregeln
🎯 Herausforderung: "Finden Sie das versteckte Admin-Panel in 10 Minuten"
3. Abhängigkeits-Albtraum: Verteidigung der Lieferkette
💣 Kompromittierungssimulation:
- Einschleusen eines schädlichen npm-Pakets mit CVEs
🛡️ Abwehrtaktiken:
- Überwachung von Schwachstellen mit OWASP Dependency-Track
- Durchsetzung von Policy-Gates, die Builds bei kritischen CVEs fehlschlagen lassen
🧪 Labor: Erstellen von Schwachstellenrichtlinien & Alarmworkflows
⚠️ Schockierende Demo: "Wie eine einzige schlechte Abhängigkeit Ihre Infrastruktur übernehmen kann"
4. Kriegsraum für Schwachstellenmanagement
💣 Kompromittierungssimulation:
- Ausnutzung ungepatchter Container-Schwachstellen
🛡️ Abwehrtaktiken:
- Zentralisierung des Berichts mit OWASP DefectDojo
- Scannen von Containern mit Trivy
🧪 Labor: Aufbau echter Dashboards für CISO- und Executive-Berichte
🏁 Wettbewerb: "Triagieren Sie 50 Befunde schneller als Ihre Rivalen"
5. Geheimnisse & Konfigurationsalarm
💣 Kompromittierungssimulation:
- Exfiltration von Geheimnissen aus dem Git-Verlauf mit truffleHog
🛡️ Abwehrtaktiken:
- Vor-Kommits-Hooks zum Blockieren von Mustern wie
password=.* - Nutzung des ZAP-Konfigurations-Spiders, um gefährliche Einstellungen offenzulegen
🧪 Labor: Implementierung der Geheimnissuche in GitHub Actions
🚨 Realitätssinn: "Ihr Datenbankpasswort befindet sich gerade jetzt in Slack"
6. Abschluss: DevSecOps-Schlachtplan
🧭 OWASP-Integrations-Roadmap:
- Planen Sie die Einführung von DefectDojo, Dependency-Track und ZAP
📋 Persönlicher Aktionsplan:
- Erstellen Sie Ihren Sicherheitschecklist für 30 Tage
- Legen Sie Ihre DevSecOps-KPIs & Berichtsdashboards fest
Voraussetzungen
Grundlegende Erfahrungen in Softwareentwicklung und SDLC
Zielgruppe
DevOps-, Sicherheits- & Cloud-Ingenieure, die theoretische Sicherheitstrainings verabscheuen
Erfahrungsberichte (2)
Craig war extrem engagiert im Training und hat stets darauf geachtet, dass wir aufmerksam sind. Er passte die Beispiele an unsere täglichen Aktivitäten an und gab immer eine Antwort, wenn danach gefragt wurde, auch wenn die Information nicht im Präsentationsmaterial enthalten war.
Ecaterina Ioana Nicoale - BOOKING HOLDINGS ROMANIA SRL
Kurs - DevOps Foundation®
Maschinelle Übersetzung
Hoher Einsatz und Fachwissen des Trainers
Jacek - Softsystem
Kurs - DevOps Engineering Foundation (DOEF)®
Maschinelle Übersetzung