第⼀部分 了解DevSecops
企业研发流程发展
l 瀑布式开发
l 敏捷开发
l DevOps
l 云原⽣简单介绍
DevOps介绍
l DevOps⾃动化流⽔线
DevSecOps介绍
l SDL
l DevSecops
第⼆部分 DevSecOps流程及产品
SAST ⽩盒代码扫描⼯具
l ⽩盒扫描原理介绍
l 业界产品介绍 fortify coverity checkmax等
l 企业⾃研
DAST ⿊盒代码扫描⼯具
l ⿊盒扫描器介绍
l 业界产品介绍 appscan,AWVS
l 企业⾃研
IAST 交互式代码扫描⼯具
l 交互式扫描介绍
l 业界产品介绍 AWVS
l 企业⾃研
SC 软件成分分析
l 软件成分分析产品介绍
l 业界产品介绍 blackduck
HIDS 主机⼊侵检测(不属于DevSecops⾥但是属于纵深防御体系,看课程时间安排选讲)
WAF web安全防⽕墙(不属于DevSecops⾥但是属于纵深防御体系,看课程时间安排选讲)
RASP web应⽤运⾏时防护 (不属于DevSecops⾥但是属于纵深防御体系,看课程时间安排选讲)
第三部分 安全运营
安全评审
l 需求安全评审介绍
l 运营能⼒沉淀
应急响应中⼼
l XSRC
l 安全蓝军
DevSecOps⽂化
l 安全红线
l 安全意识培训
l 安全编码培训
⾃动编排技术
l 安全运营之⾃动编排
课程需求
结合实例,讲解业界安全技术在研发过程中落地实施的最佳实践。
结合实例,讲解安全技术管理最佳实践,比如:安全技术规范、安全技术组件如何有效落地和持续升级等等。(不包括安全管理体系、风险评估和应急响应机制等管理内容)
结合实例,讲解安全架构设计与系统和应用平台安全最佳实践、以及各种安全防范手段。
结合实例,讲解常用的安全技术组件和工具的功能、用法和实现架构。