課程介紹
只要將程式碼提交到儲存庫就完成開發有了 DevOps 卻仍然無法快速交付,因為總是卡在繁瑣的資訊安全規範?傳統的資訊安全流程導致了資安往往在最後一刻才發生,或是產生遇到了再說的心態,這使得交付團隊與資安團隊衝突日益擴大。DevSecOps 基於安全左移的概念,在軟體開發生命週期實現小而頻繁的安全活動與安全測試,因此 DevSecOps 不僅能夠提升軟體交付的速度,同時又能鞏固數位服務的安全性。本課程結合 DevSecOps 與 ISO 27001 資訊管理框架,在 GitLab 與 GitLab CI/CD 實現敏捷安全的變更管理,提升軟體的交付效率、可靠性與安全性。
課程受眾
- 希望強化資訊系統及軟體開發安全性的個人或團隊
- 正從 DevOps 邁向 DevSecOps 的個人或團隊
- 資訊系統及軟體開發有 ISO 27001 合規需求的組織
- 正在找尋或評估以開源、免費或輕量化工具鏈方案的個人或團隊
若您對於 DevOps 或 GitLab 尚不熟悉,上課順序建議先上 GitLab CI/CD | DevOps 高效交付實務班。因為該課程包含 DevOps 的基礎核心知識,並會搭建基礎的 CI/CD 自動化流水線,對於後續銜接 DevSecOps 的進階內容會更易理解與操作。
課程目標
- 採用敏捷安全的變更管理與輕量化的工具解決傳統資訊安全的挑戰
- DevSecOps 的落地實踐
- 保障資訊系統及軟體開發的安全合規性
課程內容
- DevSecOps 整體概念
- 軟體開發生命週期(SDLC)與資訊安全的挑戰
- 安全性左移:安全的軟體發展生命週期(SSDLC)與 DevSecOps
- DevSecOps 階段性安全活動
- 在 DevSecOps 落實合規(ISO 27001)
- DevSecOps 安全成熟度模型(DSOMM)
- 建立敏捷安全的變更管理
- 以 GitLab CI/CD 搭建 Secure CI/CD 流水線
- 設計 Secure CI/CD 流水線
- GitLab 安全性配置
- DevSecOps 工具鏈介紹與比較
- 軟體組成分析(Software composition analysis, SCA)
- 敏感資訊偵測
- 靜態應用程式安全測試(Static application security testing, SAST)
- 容器掃描…等
- 在 GitLab CI/CD 啟用安全檢測
- 持續安全