(CURSO PARA EMPRESAS)
Capacitar profissionais de TI a integrar segurança de forma contínua e eficiente em todo o ciclo de desenvolvimento de software. Os participantes aprenderão práticas avançadas de DevSecOps, Modelagem de Ameaças e Monitoramento de Aplicações, além de técnicas para implementar o conceito Shift-Left em suas organizações. O curso visa transformar a abordagem de segurança, tornando-a proativa e integrada desde o início do desenvolvimento, garantindo aplicações mais seguras e resilientes.
24 horas EAD (assíncrono).
Este curso é ideal para desenvolvedores de software em geral, especialistas e engenheiros de DevOps, profissionais de segurança da informação, arquitetos de software e de infraestrutura, security champions e gestores de TI que desejam aprofundar seus conhecimentos em práticas de segurança aplicada ao desenvolvimento e operações. Também é recomendado para aqueles que buscam implementar uma cultura de segurança contínua em suas organizações.
Familiaridade com Desenvolvimento de Software, familiaridade com Metodologias Ágeis, noções de DevOps, noções de Segurança da Informação e noções em Desenvolvimento de Software Seguro (AppSec).
• O que é DevOps: Conceitos básicos e a importância da cultura DevOps.
• Os princípios do DevOps - CAMS: Cultura, Automação, Medição e Compartilhamento.
• Benefícios e desafios de adotar DevOps: Vantagens e possíveis dificuldades na implementação.
• CI/CD – O que é?
• Estratégia de deployment Blue / Green: Estratégias de deployment para minimizar downtime e riscos.
• Como projetar um pipeline de CI/CD: Passos para criar pipelines eficientes.
• O que é DevSecOps? Integração de segurança no ciclo de vida do desenvolvimento.
• SCM – Source Code Management – GitHub: Controle de versão e repositórios de código.
• Plataforma de CI/CD – Circle CI: Automação de builds, testes e deploys.
• Provedor de Cloud – AWS: Serviços em nuvem da Amazon para suporte a DevSecOps.
• Solução para containers - Docker: Uso de containers para consistência e portabilidade.
• Infrastructure as Code: Introdução a Automação de infraestrutura e segurança com IaC.
• SAST – Static Analysis Security Tool: Ferramentas para análise estática de código (ex: SonarQube).
• DAST – Dynamic Analysis Security Tool: Ferramentas para análise dinâmica de segurança (ex: OWASP ZAP).
• Gestão de Vulnerabilities – Defect Dojo: Plataforma para gestão de vulnerabilidades.
• Hands-on: Configurando um pipeline de CI/CD
• O que é S-SDLC? Ciclo de vida de desenvolvimento seguro.
• Frameworks de S-SDLC: OWASP SAMM e outros frameworks de segurança.
• Fases do S-SDLC: Estratégia, educação, requisitos de segurança, codificação segura, análise de código, testes de segurança e gestão de vulnerabilidades.
• S-SDLC e DEVOPS - DEVSECOPS: Integração de práticas de segurança no DevOps.
• Software de terceiros – Quais os riscos? Riscos associados ao uso de bibliotecas de terceiros.
• O que é SCA – Software Composition Analysis? Análise da composição do software e seus componentes.
• Como funciona uma solução de SCA? Funcionamento de ferramentas como Snyk.
• Desafios de se implementar SCA: Desafios e considerações na implementação.
• Hands-on: Software Composition Analysis no pipeline de CI/CD
• O que é SAST? Análise estática de segurança de aplicações.
• Como funciona uma ferramenta de SAST? Funcionamento e exemplos de ferramentas.
• O que deve-se considerar ao implementar SAST? Boas práticas e desafios.
• O que é Secrets Scanning? Detecção de segredos e credenciais no código.
• Como funciona uma ferramenta de Secrets Scanning? Ferramentas e integração.
• Hands-on: Static Analysis no pipeline de CI/CD
• O que é DAST? Análise dinâmica de segurança de aplicações.
• Como funciona uma ferramenta de DAST? Ferramentas e exemplos (ex: OWASP ZAP).
• Testes dinâmicos de API – API Scanning: Segurança de APIs e ferramentas de varredura (ex: OWASP ZAP).
• O que considerar ao implementar DAST? Considerações e desafios.
• Hands-on: DAST e API Scanning no pipeline de CI/CD
• O que é Infrastructure as Code (IaC)? Definição e benefícios.
• Linguagens e plataformas de IaC: Terraform, Ansible, Puppet, AWS CDK e Serverless Framework.
• Como definir a plataforma ou linguagem: Critérios de escolha.
• Riscos de Segurança ao se utilizar IaC: Boas práticas e mitigação de riscos.
• Hands-on Infra as Code:
LAB 01: Implementando IaC usando Terraform
• GitHub, Circle CI, Docker, AWS: Integração de IaC e ferramentas de segurança.
LAB 02: Análise estática de código com Checkov
• GitHub, Circle CI, Docker, AWS: Integração de Checkov para análise de código.
• O que é Gestão de Vulnerabilidades? Definição e importância.
• Fluxo da Gestão de Vulnerabilidades: Processo de identificação, análise e mitigação.
• Desafios da correta gestão de Vulnerabilidades: Desafios comuns e como superá-los.
• Ferramentas de Gestão de Vulnerabilidades: DefectDojo, Konducto, ThreadFix, Conviso Appsec.
• Triagem de Falsos positivos: Técnicas e boas práticas.
• Relatórios e indicadores importantes: Medição e análise de desempenho.
• Implementando Gestão de Vulnerabilidades: Estratégias e integração com DevSecOps.
• Hands-on: Integrando Ferramentas de Segurança com DEFECT DOJO
| Habilidade | Skills do NICE |
|---|---|
| Compreensão dos Princípios e Práticas de DevOps e DevSecOps, | Skill: K0022 - Knowledge of the principles, methods, and tools for developing, scheduling, coordinating, and managing projects and resources, including monitoring and inspecting costs, work, and contractor performance. NICE Framework Category: Securely Provision (SP). |
| Implementação de Pipelines de CI/CD Seguros, | Skill: T0062 - Skill in implementing automation tools and frameworks (continuous integration and continuous delivery pipelines). NICE Framework Category: Operate and Maintain (OM). |
| Utilização de Ferramentas de Segurança em Todas as Fases do Ciclo de Desenvolvimento de Software | Skill: K0008 - Knowledge of application security risks (e.g., Open Web Application Security Project Top 10 list). NICE Framework Category: Protect and Defend (PR) |
| Gerenciamento de Vulnerabilidades e Integração de Soluções de Segurança como SAST, DAST, e SCA | Skill: S0042 - Skill in using code analysis tools to detect security flaws in code. NICE Framework Category: Protect and Defend (PR) |
| Configuração e Automação da Infraestrutura como Código (IaC) com Segurança | Skill: T0186 - Skill in implementing and integrating risk management processes and practices (e.g., risk detection, evaluation, monitoring, and remediation) into the Software Development Lifecycle (SDLC). NICE Framework Category: Securely Provision (SP) |
| Execução de Testes de Segurança Dinâmicos e Estáticos de Aplicações e APIs | Skill: S0147 - Skill in performing static analysis to determine common coding flaws and critical software vulnerabilities. Skill: S0158 - Skill in performing dynamic analysis to identify common vulnerabilities in code and applications. NICE Framework Category: Protect and Defend (PR) |
Alameda Rio Negro, 503, Sala 2020 - Alphaville - Barueri/SP
CEP 06454-000
