お問い合わせを送信いただきありがとうございます!当社のスタッフがすぐにご連絡いたします。
予約を送信いただきありがとうございます!当社のスタッフがすぐにご連絡いたします。
コース概要
1. DevSecOps の基礎: セキュリティによって設計
🔍 学ぶ: 核心的な DevSecOps の原則と安全な SDLC
🛠️ デモ: 伝統的なセキュリティパイプラインと現代のセキュアパイプラインの比較
🔧 実習: 最初の DevSecOps 対応パイプラインテンプレートを作成する
2. OWASP ZAP セキュリティテストブートキャンプ
💣 攻撃シミュレーション:
- SQLi および XSS を含む脆弱なアプリケーションを展開する
- OWASP ZAP を使用して脅威を検出および緩和する
⚙️ 防御戦術:
- ZAP による自動スキャン
- ZAP API 経由での CI/CD 統合
🧪 実習: ZAP の基本的なスキャンと攻撃ルールをカスタマイズする
🎯 チャレンジ: “10 分で隠された管理者パネルを見つける”
3. 依存関係の地獄: サプライチェーン防御
💣 攻撃シミュレーション:
- CVE を持つ悪意のある npm パッケージを注入する
🛡️ 防御戦術:
- OWASP Dependency-Track による脆弱性の監視
- クリティカルな CVE でビルドが失敗するポリシーゲートを強制する
🧪 実習: 脆弱性ポリシーとアラートワークフローを作成する
⚠️ 驚愕のデモ: “悪い依存関係がインフラを支配する方法”
4. 脆弱性管理戦室
💣 攻撃シミュレーション:
- パッチの適用されていないコンテナの脆弱性を悪用する
🛡️ 防御戦術:
- OWASP DefectDojo による中央集中的なレポート作成
- Trivy によるコンテナのスキャン
🧪 実習: CISO/経営陣向けのダッシュボードを構築する
🏁 コンペティション: “ライバルよりも早く 50 の見つかった脆弱性を対処する”
5. 秘密と構成の火災訓練
💣 攻撃シミュレーション:
- truffleHog を使用して Git の履歴から秘密情報を盗み出す
🛡️ 防御戦術:
password=.*のようなパターンをブロックするプレコミットフックを使用する- ZAP の構成スパイダーを使用して危険な設定を表示する
🧪 実習: GitHub Actions のシークレットスキャンを実装する
🚨 現実チェック: “あなたのデータベースのパスワードは今、Slack にあります”
6. 総括: DevSecOps 戦略計画
🧭 OWASP 統合ロードマップ:
- DefectDojo、Dependency-Track、ZAP の導入計画を立てる
📋 個人行動計画:
- 30 日間のセキュリティチェックリストを作成する
- DevSecOps KPI と報告ダッシュボードを定義する
要求
ソフトウェアおよび SDLC の基礎知識
対象者
DevOps、セキュリティ、クラウドエンジニアで理論的なセキュリティ講義が苦手な方
7 時間
お客様の声 (1)
講師の監督と支援の下で、多くの実践的な演習が行われました。
Aleksandra - Fundacja PTA
コース - Mastering Make: Advanced Workflow Automation and Optimization
機械翻訳
