THỜI LƯỢNG: 3 ngày (~24 giờ)
GIỚI THIỆU KHÓA HỌC
EC-Council Certified DevSecOps Engineer (E|CDE) là một chương trình chứng nhận DevSecOps toàn diện thực hành giúp các chuyên gia xây dựng các kỹ năng cần thiết để thiết kế, phát triển và duy trì các ứng dụng và cơ sở hạ tầng an toàn trong tất cả các giai đoạn của DevOps.
Khóa đào tạo của E|CDE có gì độc đáo?
- E|CDE là chương trình chuyên sâu về thực hành chiếm hơn 70% thời lượng chương trình giảng dạy bao gồm cả ứng dụng và cơ sở hạ tầng DevSecOps trong các nền tảng tại chỗ và trên nền tảng đám mây.
- Chương trình cung cấp đào tạo chuyên sâu về các nền tảng đám mây và công cụ hàng đầu như AWS Cloud, Microsoft Azure và GitHub.
- E|CDE là chương trình chứng nhận DevSecOps toàn diện nhất, tập trung vào việc tích hợp bảo mật trong kế hoạch, mã, xây dựng, thử nghiệm, triển khai, phát hành, vận hành và giám sát tất cả 8 giai đoạn của vòng đời DevOps.
- Khóa đào tạo E|CDE là khóa học chuyên sâu, thực hành về DevSecOps với hơn 80 bài thực hành trực tuyến và ngoại tuyến, bao gồm 32 labs về môi trường tại chỗ, 32 labs tập trung vào Dịch vụ web của Amazon (AWS) và 29 labs trên Microsoft Azure.
- Chương trình bao gồm việc tích hợp và tự động hóa tất cả các công cụ, quy trình và phương pháp chính được sử dụng rộng rãi của DevSecOps giúp các tổ chức nhanh chóng xây dựng các ứng dụng an toàn.
MỤC TIÊU KHÓA HỌC
Sau khi hoàn tất khóa học, học viên sẽ có kiến thức:
- Hiểu các tắc nghẽn bảo mật DevOps và khám phá cách văn hóa, triết lý, thực tiễn và công cụ của DevSecOps có thể nâng cao sự hợp tác và giao tiếp giữa các nhóm phát triển và vận hành.
- Tích hợp Eclipse và GitHub với Jenkins để xây dựng ứng dụng.
- Tích hợp các công cụ mô hình hóa mối đe dọa như Threat Dragon, ThreatModeler và Threatspec; quản lý các yêu cầu bảo mật với Jira và Confluence; và sử dụng Jenkins để tạo đường dẫn CI/CD an toàn.
- Tích hợp các công cụ tự bảo vệ ứng dụng trong thời gian thực như Hdiv, Sqreen và Dynatrace để bảo vệ các ứng dụng trong thời gian thực với ít lỗi xác thực hơn và khắc phục các lỗ hổng đã biết.
- Triển khai các công cụ như plugin Jfrog IDE và nền tảng Codacy.
- Triển khai các phương pháp và công cụ tự động hóa khác nhau, bao gồm Jenkins, Bamboo, TeamCity và Gradle.
- Triển khai các công cụ kiểm tra thâm nhập như gitGraber và GitMiner để bảo mật CI/CD.
- Tích hợp các công cụ tự động để xác định các cấu hình bảo mật sai có thể làm lộ thông tin nhạy cảm và dẫn đến các cuộc tấn công.
- Kiểm tra việc đẩy mã, quy trình và tuân thủ bằng cách sử dụng các công cụ giám sát và ghi nhật ký như Sumo Logic, Datadog, Splunk, ngăn xếp ELK và Nagios.
- Tích hợp các công cụ tuân thủ dưới dạng mã như Cloud Custodian và khung DevSec để đảm bảo rằng các yêu cầu tuân thủ hoặc quy định của tổ chức được đáp ứng mà không cản trở quá trình vận hành.
- Tích hợp các công cụ và phương pháp thực hành để xây dựng phản hồi liên tục vào quy trình DevSecOps bằng cách sử dụng thông báo qua email của Jenkins và Microsoft Teams.
- Hiểu chuỗi công cụ DevSecOps và cách đưa các biện pháp kiểm soát bảo mật vào quy trình DevOps tự động.
- Điều chỉnh các biện pháp bảo mật như thu thập yêu cầu bảo mật, mô hình hóa mối đe dọa và đánh giá mã bảo mật với quy trình phát triển.
- Hiểu và triển khai kiểm tra bảo mật liên tục bằng các công cụ SCA và kiểm tra bảo mật ứng dụng tĩnh, động và tương tác (ví dụ: Snyk, SonarQube, StackHawk, Checkmarx SAST, Debricked, WhiteSource Bolt).
- Tích hợp SonarLint với Eclipse và Visual Studio Code IDE.
- Tích hợp thử nghiệm bảo mật tự động vào quy trình CI/CD bằng Amazon CloudWatch; Amazon Elastic Container Registry; và AWS CodeCommit, CodeBuild, CodePipeline, Lambda, và Security Hub.
- Thực hiện quét lỗ hổng liên tục trên dữ liệu và bản dựng sản phẩm bằng các công cụ tự động như Nessus, SonarCloud, Amazon Macie và Probely.
- Sử dụng các công cụ AWS và Azure để bảo mật ứng dụng.
- Hiểu khái niệm cơ sở hạ tầng dưới dạng mã và cung cấp cũng như cấu hình cơ sở hạ tầng bằng các công cụ như Ansible, Puppet và Chef.
- Sử dụng các công cụ cảnh báo và giám sát tự động (ví dụ: Splunk, Azure Monitor, Nagios) và tạo hệ thống kiểm soát và cảnh báo theo thời gian thực.
- Quét và bảo mật cơ sở hạ tầng bằng máy quét vùng chứa và hình ảnh (Trivy và Qualys) và máy quét bảo mật cơ sở hạ tầng (Bridgecrew và Checkov).
- Tích hợp các công cụ cảnh báo như Opsgenie với các công cụ giám sát và quản lý nhật ký để nâng cao hiệu suất hoạt động và bảo mật
ĐỐI TƯỢNG THAM GIA
- Các chuyên gia được chứng nhận C|ASE
- Chuyên gia bảo mật ứng dụng
- Kỹ sư DevOps
- Chuyên gia bảo mật CNTT
- Kỹ sư và nhà phân tích an ninh mạng
- Kỹ sư phần mềm và người kiểm thử
- Bất kỳ ai có kiến thức trước về bảo mật ứng dụng muốn xây dựng sự nghiệp trong DevSecOps
CHỨNG NHẬN
Sau khi hoàn tất khóa học, học viên sẽ được cấp chứng nhận hoàn tất khóa học theo quy định của SmartPro.
NỘI DUNG KHÓA HỌC
- Module 1: Understanding DevOps Culture
- Module 3: DevSecOps Pipeline—Plan Stage
- Module 5: DevSecOps Pipeline—Build and Test Stage
- Module 7: DevSecOps Pipeline—Operate and Monitor Stage
- Module 2: Introduction to DevSecOps
- Module 4: DevSecOps Pipeline—Code Stage
- Module 6: DevSecOps Pipeline—Release and Deploy Stage