Corso DevSecOps
Corso DevSecOps . Per DevSecOps si intende un acronimo che sta per Development, Security Operations. Si tratta di una sorta di evoluzione della metodologia DevOps poichè si integra con la sicurezza che copre l’intero ciclo di vita dell’applicazione. Diremo che con il DevSecOps si ottiene una integrazione nativa della sicurezza informatica nello sviluppo software e nell’infrastruttura. La sicurezza diventa una responsabilità condivisa da tutto il team di lavoro IT.
In un era in cui le minacce cybercriminali sono all’ordine del giorno, con ransomware, data breanch e frodi informatiche che possono capitare a chiunque, lo sviluppo di applicazioni nativamente sicure è un approccio che tutte le aziende dovrebbero adottare. Grandi o piccole che siano.
Lo scopo del DevSecOps è realizzare software in maniera più sicura e rapida. Si vuole facilitare il processo di sviluppo, gestione e manutenzione dell’applicazione in maniera simile al DevOps. Ma in questo caso puntando su una sicurezza “by design” del software.
In cosa consiste per lo sviluppatore abbracciare la metodologia DevSecOps? Consiste nel:
- determinare la tolleranza al rischio
- effettuare un’analisi rischi-benefici
- stabilire i controlli necessari per un’applicazione
- stabilire i tempi di rilascio
- automatizzare una serie di controlli e di verifiche
L’approccio DevSecOps prevede l’utilizzo di nuovi strumenti e l’adesione ad una nuova cultura strategica. Si va ad automatizzare la sicurezza per proteggere l’ambiente, i dati ed il processo CI/CD (le pipeline di integrazione ed il deployment continui). L’obiettivo include anche la sicurezza dei microservizi nei container.
Con il DevSecOps si parla di “Security Awareness”: consapevolezza della sicurezza. La metodologia aumenta la responsabilità collettiva di tutti i soggetti coinvolti nel progetto, sviluppatori ed operators. Si costruisce una base culturale ed organizzativa imprescindibile se vi vuole sviluppare applicazioni nativamente sicure.
Il vantaggio principale nell’applicare il DevSecOps è identificare nativamente la possibili vulnerabilità che potrebbero dare seri problemi in seguito ai deploy pianificati. Rilasciando quindi software migliore ed in maniera più veloce.
Il DevSecOps va oggi di pari passo con il cloud native. Infatti le applicazioni basate sul DevSecOps vengono sviluppate su piattaforme cloud, utilizzando i container stateful (Paas) o i container stateless (architetture serverless) o con le possibili ibridazioni utilizzando Kubernetes per orchestrare le complessità. Gli strumenti utilizzati per monitorare la sicurezza devono garantire la loro efficienza anche in ambienti ibridi e multicloud. Fornendo indicazioni ed informazioni per tutte le applicazioni, a prescindere che queste siano proprietarie, open source o personalizzate.
Obiettivi del Corso DevSecOps:
Formare lo studente fornendo la metodologia e gli strumenti per gestire infrastrutture cloud in sicurezza applicando il DevSecOps
Requisiti per i discenti Corso DevSecOps:
Corso rivolto a consulenti IT e DevOps
Per altri corsi in ambito DevOps e Microservizi clicca QUI. Per il corso OWASP clicca QUI.
Corso DevSecOps attivabile solo per le aziende e su richiesta.
Modalità virtual classroom online in diretta (o frontale in-house).
Programma didattico Corso DevSecOps (24ore)
1.Panoramica di DevSecOps e dei suoi obiettivi
Concetti chiave: sicurezza shift-left, CI/CD, sicurezza come codice
Vantaggi e sfide di DevSecOps
2. Pratiche di codice sicuro
Panoramica OWASP Best practice per la codifica sicura e Top 10
Best practice per diversi tipi di applicazioni (web, mobile, API)
Modellazione delle minacce per DevSecOps
3. Test di sicurezza
Tipi di test di sicurezza (SAST, DAST, IAST, RASP)
Automatizzare i test di sicurezza utilizzando corridori e job
Strumenti e tecniche per diversi tipi di applicazioni
Scansione segreta
Analisi della composizione del software (SCA) e SBOM
4. Sicurezza delle infrastrutture
Protezione di macchine virtuali e container (Kubernetes, Docker)
Sicurezza nel cloud (AWS, Azure)
Infrastruttura come sicurezza del codice (Terraform, AWS CDK, framework Serverless)
5. Risposta agli incidenti e ripristino di emergenza
Gestione e monitoraggio della sicurezza
SIEM e automazione della gestione dei log
Gestione delle vulnerabilità
6. Strumenti e automazione
Strumenti di sicurezza open source e commerciali
Integrazione degli strumenti di sicurezza nella pipeline CI/CD
Automatizzazione delle attività relative alla sicurezza
La formazione può essere personalizzata in base alla propria attuale suite di sviluppo (Github, Gitlab, BitBucket, Jenkins ecc.)