DevSecOps Firefight: Breach, Fix & Fortify

Prerequisites:

Podstawowa wiedza o oprogramowaniu i doświadczenie w SDLC**Adresaci**DevOps, Specjaliści ds. bezpieczeństwa i inżynierowie chmury, którzy **nienawidzą teoretycznych wykładów o bezpieczeństwie**

Overview:

To współczesny, nowoczesny, praktyczny warsztat zanurza uczestników w krytycznych realiach zabezpieczeń współczesnych ciągów CI/CD. Został zaprojektowany dla specjalistów ds. bezpieczeństwa, DevOps inżynierów i programistów, którzy chcą opanować zaawansowaną obronę przed naruszeniami ciągów. Szkolenie łączy symulacje ataków w czasie rzeczywistym z narzędziami z branży i praktycznymi technikami obrony.

Course Outline:

1. Podstawy DevSecOps: Bezpieczeństwo od Projektu

🔍 Nauka: Podstawowe zasady DevSecOps i bezpieczne SDLC

🛠️ Demonstracja: Porównanie bezpiecznych rurociągów nowoczesnych i starszych metod

🔧 Laboratorium: Tworzenie szablonu pierwszego rurociągu DevSecOps

2. Bootcamp Testowania Bezpieczeństwa OWASP ZAP

💣 Symulacja Wykradzenia:

• Wdrożenie podatnej aplikacji z SQLi & XSS
• Wykorzystanie OWASP ZAP do wykrywania i przeciwdziałania zagrożeniom

⚙️ Taktyki Obrony:

• Automatyczne skanowanie za pomocą ZAP
• Integracja CI/CD za pomocą API ZAP

🧪 Laboratorium: Dostosowanie podstawowych skanowań ZAP i zasad ataków

🎯 Wyzywanie: „Znajdź ukryty panel administratora w 10 minut”

3. Piekło Zależności: Ochrona Łańcucha Dostaw

💣 Symulacja Wykradzenia:

• Wstrzyknięcie złośliwego pakietu npm z CVEs

🛡️ Taktyki Obrony:

• Monitorowanie podatności za pomocą OWASP Dependency-Track
• Wymuszanie bram polityki, które blokują budowanie krytycznych CVEs

🧪 Laboratorium: Tworzenie polityk podatności i przepływów alertów

⚠️ Szokująca Demonstracja: „Jak jedna zła zależność może przejąć Twoją infrastrukturę”

4. Sala Kryzysowa dla Podatności Management

💣 Symulacja Wykradzenia:

• Wykorzystanie nieznanych luk w kontenerach

🛡️ Taktyki Obrony:

• Centralizacja raportowania za pomocą OWASP DefectDojo
• Skanowanie kontenerów za pomocą Trivy

🧪 Laboratorium: Budowanie rzeczywistych panelów dla raportów CISO/kierowniczych

🏁 Konkurencja: „Przygotowanie 50 wniosków szybciej niż rywale”

5. Ćwiczenia z Tajności i Konfiguracji

💣 Symulacja Wykradzenia:

• Wyciągnięcie tajności z historii Git za pomocą truffleHog

🛡️ Taktyki Obrony:

• Haki przed komitowaniem do blokowania wzorców, takich jak password=.*
• Wykorzystanie konfiguracji pajęczyny ZAP do wyeksponowania niebezpiecznych ustawień

🧪 Laboratorium: Wdrażanie skanowania tajności GitHub Actions

🚨 Sprawdzian rzeczywistości: „Twoje hasło do bazy danych znajduje się w Slack teraz”

6. Podsumowanie: Plan Bitwy DevSecOps

🧭 Plan integracji OWASP:

• Planowanie wdrożenia DefectDojo, Dependency-Track i ZAP

📋 Indywidualny Plan Działań:

• Sformułowanie 30-dniowej listy kontroli bezpieczeństwa
• Definiowanie KPI DevSecOps i panelów raportowania