Temario del curso
1. Fundamentos de DevSecOps: Seguridad desde el Diseño
🔍 Aprendizaje: Principios fundamentales de DevSecOps y SDLC seguro
🛠️ Demostración: Comparación lado a lado de tuberías heredadas frente a tuberías seguras modernas
🔧 Laboratorio: Cree su primera plantilla de tubería habilitada para DevSecOps
2. Campo de Entrenamiento en Pruebas de Seguridad OWASP ZAP
💣 Simulación de Brecha:
- Despliegue una aplicación vulnerable con SQLi y XSS
- Utilice OWASP ZAP para detectar y mitigar amenazas
⚙️ Tácticas de Defensa:
- Análisis automatizado con ZAP
- Integración CI/CD a través de la API de ZAP
🧪 Laboratorio: Personalice los análisis base de ZAP + reglas de ataque
🎯 Desafío: «Encuentre el panel de administración oculto en 10 minutos»
3. Infierno de Dependencias: Defensa de la Cadena de Suministro
💣 Simulación de Brecha:
- Inyecte un paquete npm malicioso con CVEs
🛡️ Tácticas de Defensa:
- Monitoree vulnerabilidades con OWASP Dependency-Track
- Imponga puertas de política que fallen las compilaciones ante CVEs críticos
🧪 Laboratorio: Cree políticas de vulnerabilidad y flujos de trabajo de alertas
⚠️ Demostración Impactante: «Cómo una mala dependencia puede asumir el control de tu infraestructura»
4. Sala de Guerra de Gestión de Vulnerabilidades
💣 Simulación de Brecha:
- Aproveche vulnerabilidades sin parchear en contenedores
🛡️ Tácticas de Defensa:
- Centralice la presentación de informes con OWASP DefectDojo
- Escanee contenedores con Trivy
🧪 Laboratorio: Construya dashboards reales para informes a CISOs y ejecutivos
🏁 Competencia: «Clasifique 50 hallazgos más rápido que sus rivales»
5. Simulacro de Fuego para Secretos y Configuración
💣 Simulación de Brecha:
- Exfiltre secretos del historial de Git usando truffleHog
🛡️ Tácticas de Defensa:
- Ganchos de precompilación para bloquear patrones como
password=.* - Use el arácnido de configuración de ZAP para exponer configuraciones peligrosas
🧪 Laboratorio: Implemente el escaneo de secretos en GitHub Actions
🚨 Control de la Realidad: «La contraseña de tu base de datos está ahora mismo en Slack»
6. Cierre: Plan de Batalla DevSecOps
🧭 Hoja de Ruta de Integración de OWASP:
- Planeé la adopción de DefectDojo, Dependency-Track y ZAP
📋 Plan de Acción Personal:
- Elabore su lista de comprobación de seguridad de 30 días
- Defina sus KPIs de DevSecOps y dashboards de informes
Requerimientos
Experiencia fundamental en software y ciclo de vida del desarrollo de software (SDLC)
Público objetivo
Ingenieros DevOps, de Seguridad y Cloud que odean las charlas teóricas sobre seguridad
Testimonios (2)
El conocimiento y experiencia del consultor ya que se abordan los temas teóricos aplicándolos a la realidad de los procesos. El curso contiene un programa de mucho valor en la gestión de las tecnologías de información.
Luis Castro Gamboa - Cooperativa De Ahorro Y Credito Ande No. 1 R.L.
Curso - Site Reliability Engineering (SRE) Foundation®
Que fue muy claro en cada especificación