Temario del curso
1. Fundamentos de DevSecOps: Seguridad desde el Diseño
🔍 Aprender: Principios fundamentales de DevSecOps y SDLC seguro
🛠️ Demostración: Comparación lado a lado entre canalizaciones legacy y modernas seguras
🔧 Laboratorio: Crear su primera plantilla de canalización habilitada para DevSecOps
2. Campo de Entrenamiento en Pruebas de Seguridad con OWASP ZAP
💣 Simulación de brecha:
- Implementar una aplicación vulnerable con SQLi y XSS
- Utilizar OWASP ZAP para detectar y mitigar amenazas
⚙️ Tácticas de defensa:
- Escaneo automatizado con ZAP
- Integración en CI/CD mediante la API de ZAP
🧪 Laboratorio: Personalizar escaneos base y reglas de ataque en ZAP
🎯 Desafío: "Encuentra el panel de administración oculto en 10 minutos"
3. Infierno de Dependencias: Defensa de la Cadena de Suministro
💣 Simulación de brecha:
- Inyectar un paquete npm malicioso con CVEs conocidos
🛡️ Tácticas de defensa:
- Monitorizar vulnerabilidades con OWASP Dependency-Track
- Aplicar puertas de política que detengan las compilaciones ante CVEs críticos
🧪 Laboratorio: Crear políticas de vulnerabilidad y flujos de trabajo de alertas
⚠️ Demostración impactante: "Cómo una sola dependencia defectuosa puede controlar su infraestructura"
4. Sala de Guerra para la Gestión de Vulnerabilidades
💣 Simulación de brecha:
- Aprovechar vulnerabilidades sin parchear en contenedores
🛡️ Tácticas de defensa:
- Centralizar los informes con OWASP DefectDojo
- Escanear contenedores con Trivy
🧪 Laboratorio: Crear paneles reales para informes a la dirección (CISO) y ejecutivos
🏁 Competición: "Triar 50 hallazgos más rápido que sus rivales"
5. Simulacro de Fuego con Secretos y Configuraciones
💣 Simulación de brecha:
- Exfiltrar secretos desde el historial de Git utilizando truffleHog
🛡️ Tácticas de defensa:
- Ganchos pre-commit para bloquear patrones como
password=.* - Utilizar el rastreador de configuración de ZAP para revelar configuraciones peligrosas
🧪 Laboratorio: Implementar el escaneo de secretos en GitHub Actions
🚨 Comprobación de la realidad: "La contraseña de su base de datos está ahora mismo en Slack"
6. Clausura: Plan de Batalla para DevSecOps
🧭 Hoja de ruta de integración con OWASP:
- Planear la adopción de DefectDojo, Dependency-Track y ZAP
📋 Plan de acción personal:
- Redactar su lista de verificación de seguridad para 30 días
- Definir sus KPIs de DevSecOps y paneles de informes
Requerimientos
Experiencia básica en software y ciclo de vida del desarrollo de software (SDLC)
Público objetivo
Ingenieros DevOps, de Seguridad y Cloud que odian las charlas teóricas sobre seguridad
Testimonios (2)
El conocimiento y experiencia del consultor ya que se abordan los temas teóricos aplicándolos a la realidad de los procesos. El curso contiene un programa de mucho valor en la gestión de las tecnologías de información.
Luis Castro Gamboa - Cooperativa De Ahorro Y Credito Ande No. 1 R.L.
Curso - Site Reliability Engineering (SRE) Foundation®
Que fue muy claro en cada especificación