문의를 보내주셔서 감사합니다! 팀원이 곧 연락드리겠습니다.
Thank you for sending your booking! One of our team members will contact you shortly.
Course Outline
1. DevSecOps 기본원리: 설계 중심 보안
🔍 학습: 핵심 DevSecOps 원칙 및 안전한 SDLC
🛠️ 데모: 전통적인 파이프라인과 현대적인 안전 파이프라인의 비교
🔧 실습: 첫 번째 DevSecOps 파이프라인 템플릿 구축
2. OWASP ZAP 보안 테스트 부트캠프
💣 침투 시뮬레이션:
- SQLi 및 XSS 취약점이 있는 취약 앱 배포
- OWASP ZAP를 사용하여 위협 탐지 및 완화
⚙️ 방어 전술:
- ZAP를 통한 자동 스캔
- ZAP API를 통한 CI/CD 통합
🧪 실습: ZAP 기본 스캔 및 공격 규칙 사용자 지정
🎯 도전 과제: “10분 안에 숨겨진 관리자 패널 찾기”
3. 의존성 지옥: 공급망 방어
💣 침투 시뮬레이션:
- CVE가 있는 악성 npm 패키지 주입
🛡️ 방어 전술:
- OWASP Dependency-Track를 사용하여 취약성 모니터링
- 중요한 CVE에 대해 빌드가 실패하도록 정책 게이트 적용
🧪 실습: 취약성 정책 및 알림 워크플로우 생성
⚠️ 충격 데모: “하나가 잘못된 의존성이 인프라를 소유하는 방법”
4. 취약성 Management 상황실
💣 침투 시뮬레이션:
- 수정되지 않은 컨테이너 취약성 악용
🛡️ 방어 전술:
- OWASP DefectDojo를 사용하여 보고 통합
- Trivy를 사용하여 컨테이너 스캔
🧪 실습: CISO/이사회 보고를 위한 실제 대시보드 구축
🏁 경쟁: “라이벌보다 50개의 발견을 더 빠르게 처리하기”
5. 비밀 및 설정 화재 대피
💣 침투 시뮬레이션:
- truffleHog를 사용하여 Git 기록에서 비밀 정보 유출
🛡️ 방어 전술:
- 패턴과 같은
password=.*을 차단하는 pre-commit 후크 - ZAP의 config spider를 사용하여 위험한 설정 표면화
🧪 실습: GitHub Actions 비밀 정보 스캔 구현
🚨 현실 확인: “데이터베이스 비밀번호가 Slack에 있습니다”
6. 정리: DevSecOps 전투 계획
🧭 OWASP 통합 로드맵:
- DefectDojo, Dependency-Track 및 ZAP 도입 계획
📋 개인 행동 계획:
- 30일 보안 체크리스트 작성
- DevSecOps KPI 및 보고 대시보드 정의
Requirements
기본 소프트웨어 및 SDLC 경험
Audience
이론적인 보안 강의를 싫어하는 DevOps, 보안 및 클라우드 엔지니어
7 Hours
회원 평가 (1)
많은 실습이 트레이너의 지도와 지원 하에 진행되었습니다.
Aleksandra - Fundacja PTA
Course - Mastering Make: Advanced Workflow Automation and Optimization
기계 번역됨
