Beschreibung
DevSecOps: Automatisierte Sicherheitstests für die Webentwicklung
Ziel
Sie lernen in einer Übungsumgebung in der Cloud, wie Sie (automatisierte) Sicherheitsprüfungen auf Anwendungsebene in den DevSecOps-Prozess integrieren. Vorgestellt werden Werkzeuge, die zur Überprüfung von Anwendungen und Systemen dienen können und Sie erfahren, wie sich diese in bestehende Jenkins-Pipelines integrieren lassen.Hierfür werden zunächst die Grundlagen der Sicherheit moderner Webanwendungen dargestellt. Auf Basis dieser Beispiele werden anschließend in mehreren theoretischen und praktischen Teilen die einzelnen Themen jeweils zuerst vorgestellt und anschließend praktisch vertieft. Die Vertiefung und praktische Anwendung erfolgt dabei anhand der bi-sec-Demo-und-Übungs-Umgebung in der Cloud (AWS, Azure). Sie lernen, welche Werkzeuge für die Überprüfung von Anwendungen und Systemen verwendet werden können, wie sich diese in die bestehende Jenkins-Pipeline integrieren lassen und wie die Ergebnisse zu interpretieren sind.
Möchten Sie mehr über diese Weiterbildung erfahren?
Kommende Starttermine
1 verfügbarer Starttermin
Inhalte / Module
- OWASP Top 10, OWASP ASVS und SANS CWE Top 25
- Vor- und Nachteile der individuellen Standards für Compliance- und Securtiy-Checks
• Einführung in Kali-Linux und gängige Prüfwerkzeuge für (Web-) Anwendungen
- Abgrenzung der Möglichkeiten und Grenzen von automatisierten „Scannern“, manuellen Pentests und Quellcode-Prüfungen
- Einführung in die Sicht eines Hackers auf Webanwendungen und Pentest-Proxies
- Vorstellung und Anwendung von Werkzeugen und Prüfverfahren im Bereich SAST und DAST
• Kennenlernen und verstehen typischer Angriffsvektoren von Webanwendungen:
- SQL-Injections, Command-Injections und co.
- Authentifizierung und Autorisierung
- Cross-Site-Scripting
- HTML5: Tags und Browserspeicher
- JavaScript / client-seitige Eingabevalidierung
- WebSockets
- Cross-Origin-Resource-Sharing
- Verbindungssicherheit / TLS
- Header
• Schwachstellen auf System- und Dienstebene erkennen und beheben
- Nutzung automatisierter Werkzeuge
- Härtung und Absicherung von Diensten wie Tomcat auf Linux
• Einführung DevSecOps mit Beispielen aus der Praxis
- Was gehört zur CI-/CD-Pipeline mit Fokus auf Sec
- Wie machen es andere Firmen?
• Security im agilen Entwicklungsumfeld
- Sicherheit der Entwicklungslandschaft
- Sicherheit der entwickelten Anwendung
- Sicherheit von Dritt-Bibliotheken und co.
- Absicherung der Konfiguration der Anwendungssysteme
• Vorstellung möglicher Sec-Anteile in der CI-/CD-Pipeline
- Sec-Tools für eine CI-/CD-Pipeline
- Diskussion bisher verwendeter Tools in der aktuellen Pipeline des Kunden
- Integration von automatisierten Security-Tools in Jenkins („as Code” vs. „Plugin)
- Umgang mit False-Positives bei automatisierten Sicherheitsüberprüfungen
- Grenzen von automatisierten Sicherheitsüberprüfungen und Tools
Zielgruppe / Voraussetzungen
Abschlussqualifikation / Zertifikat
Kostenzusatz
Infos anfordern
heise Academy
Karl-Wiechert-Allee 10
30625 Hannover
heise Academy
Die heise Academy steht für selbstbestimmte und lebenslange Weiterbildung für IT-Professionals und Unternehmen. Unsere Schulungen überzeugen vor allem durch Interaktion, thematischen Tiefgang und individuelle Betreuung. Die iX-Workshops bieten IT-Professionals notwendige Fortbildung zu neuen Themen. Das Themenspektrum umfasst alle Bereiche der professionellen IT:...
Erfahren Sie mehr über heise Academy und weitere Kurse des Anbieters.
Anzeige