DevSecOps is een evolutie van DevOps, doordat we meer en meer "security" toevoegen aan het proces. Je zal misschien al eens hebben gehoord van de term "shift-left security"; wij gaan je helpen daar een beeld bij te vormen!
De tegenwoordige IT-wereld bestaat uit een samenspel van lokale infrastructuur, cloud oplossingen, automatisering en software-ontwikkeling. Om onze veiligheid te kunnen garanderen in deze vijandige buitenwereld, zou iedereen in het IT-werkveld bekend moeten zijn met de fundamenten van "secure software" en "secure service delivery".
Bedrijven, groot en klein, leunen zwaar op "DevOps" processen om zo efficiënt en veilig mogelijk hun IT-omgevingen uit te baten. Om goed in het DevOps-werkveld te kunnen opereren, worden er extra eisen gesteld aan de kennis en ervaring van de betrokken IT-ers. DevOps en moderne security zitten nog niet heel lang in het Nederlandse opleidingspakket, dus bijscholen kan vaak geen kwaad!
Deze introductie training geeft je inzicht in de beginselen van DevOps en DevSecOps. Je neemt je eerste stappen als DevOps engineer. Want ongeacht je huidige of toekomstige rol, zal je goed thuis moeten zijn in:
Tijdens deze vijfdaagse introductie training, zullen we de volgende onderwerpen behandelen.
Na afloop van deze vijfdaagse introductie cursus, zullen de leerlingen een niveau hebben bereikt dat in taalonderwijs "A1" wordt genoemd: je ontdekt de onderwerpen en leert de termen en concepten kennen door demonstratie en begeleide toepassing.
De leerling:
Om de cursus tot een succes te brengen, is het nodig dat de leerling beschikt over de volgende voorkennis.
Idealiter hebben leerlingen een conceptueel begrip van software kwetsbaarheden, zoals beschreven in de OWASP Top 10. Dit is geen vereiste, maar maakt het wel gemakkelijker om te begrijpen wat het doel van DevSecOps is.
Programmeer-ervaring is niet vereist. We zullen werken met een demo-project gemaakt in Angular en NodeJS, maar we gaan niet direct met de broncode aan de slag.
Om deel te nemen aan deze cursus hebben studenten een eigen laptop nodig.
Helaas zijn mijn labs niet compatible met Apple ARM.
Deelnemers ontvangen een Vagrantfile, waarmee zij voor de les de lab VM kunnen opbouwen.
Deze intro cursus is het beste geschikt voor groepen van 5 tot 15 leerlingen.
De cursus kan volledig online worden gegeven, op afstand, via MS Teams of Zoom.
Unixerius kan een trainingslocatie aanbieden, in Almere Buiten. We kunnen tot 15 studenten ontvangen en zorgen voor lunch. Hotels en winkels zijn in de buurt, maar niet op loopafstand. Buslijn 22 brengt je binnen tien minuten vanaf station Almere Buiten naar ons kantoor op MAC3Park (vertrekt elke 15min).
Deze training kan ook bij uw bedrijf op locatie worden gegeven. Daarbij zijn we echter geografisch geboden aan de driehoek Amsterdam - Utrecht - Zwolle.
Dag 1
Dag 2
Dag 3
Dag 4
Dag 5
Leer-behoeften
De tegenwoordige IT-wereld bestaat uit een samenspel van lokale infrastructuur, cloud oplossingen, automatisering en software-ontwikkeling. Om onze veiligheid te kunnen garanderen in deze vijandige buitenwereld, zou iedereen in het IT-werkveld bekend moeten zijn met de fundamenten van "secure software" en "secure service delivery".
Bedrijven, groot en klein, leunen zwaar op "DevOps" processen om zo efficiënt en veilig mogelijk hun IT-omgevingen uit te baten. Om goed in het DevOps-werkveld te kunnen opereren, worden er extra eisen gesteld aan de kennis en ervaring van de betrokken IT-ers. DevOps en moderne security zitten nog niet heel lang in het Nederlandse opleidingspakket, dus bijscholen kan vaak geen kwaad!
Deze introductie training geeft je inzicht in de beginselen van DevOps en DevSecOps. Je neemt je eerste stappen als DevOps engineer. Want ongeacht je huidige of toekomstige rol, zal je goed thuis moeten zijn in:
- Werken in projecten-teams, in plaats van in je eentje.
- Het gebruik van moderne DevOps en cloud platforms.
- Concepten als CICD, Git en automatisering.
- Concepten als secure development, security testing en secure operations.
Leerdoelen
Tijdens deze vijfdaagse introductie training, zullen we de volgende onderwerpen behandelen.
- Hoe werken moderne IT organisatie?
- Projectmanagement
- De SDLC: software development life cycle
- Waterfall, Agile, Scrum, Kanban
- SDLC, van ontwerp tot operatie
- DevOps concepten en software voortbrenging
- Coöperatief bouwen van software
- Git fundamentals.
- Virtualisatie en cloud platforms.
- Fundamenten van virtualisatie en containers.
- Serverless platforms
- Cloud hosting van virtual machines en containers.
- CI/CD pipelines.
- Automatisering als onderdeel van de SDLC.
- Van source code, tot een online dienst.
- Security in DevOps:
- Software kwetsbaarheden
- Secure ontwerp, threat modelling
- Software composition analyse, statische software analyse, secrets detection
- Functionele applicatie tests, security testen, test automatisering
- Veilig naar productie
- Het scannen en managen van kwetsbaarheden
- Pen-testing, dynamische applicatie tests
- WAF: web application firewalls
Uitkomst van de cursus
Na afloop van deze vijfdaagse introductie cursus, zullen de leerlingen een niveau hebben bereikt dat in taalonderwijs "A1" wordt genoemd: je ontdekt de onderwerpen en leert de termen en concepten kennen door demonstratie en begeleide toepassing.
De leerling:
- Kan woorden, termen en concepten uit DevSecOps verklaren.
- Kan deze concepten koppelen aan activiteiten die op de werkvloer zullen worden uitgevoerd.
- Heeft een raamwerk opgebouwd waarmee verdere leer-activiteiten in de juiste context kunnen worden geplaatst.
Vereiste voorkennis
Om de cursus tot een succes te brengen, is het nodig dat de leerling beschikt over de volgende voorkennis.
- Minstens één jaar ervaring met Linux en Windows server besturingssystemen.
- Basiskennis van computernetwerk concepten: TCP/IP, DNS, firewalls, load balancers.
- Minstens één jaar ervaring met een scripting-taal, zoals Bash of Powershell.
Idealiter hebben leerlingen een conceptueel begrip van software kwetsbaarheden, zoals beschreven in de OWASP Top 10. Dit is geen vereiste, maar maakt het wel gemakkelijker om te begrijpen wat het doel van DevSecOps is.
Programmeer-ervaring is niet vereist. We zullen werken met een demo-project gemaakt in Angular en NodeJS, maar we gaan niet direct met de broncode aan de slag.
Systeemsvereisten
Om deel te nemen aan deze cursus hebben studenten een eigen laptop nodig.
- Met Windows 10/11, Linux, of MacOS.
- Met een recente i5/i7/i9 of AMD Ryzen2 processor.
- Met minimaal 8GB RAM.
- Met minimaal 60GB beschikbare opslagruimte.
- Virtualbox 6.1.x en Vagrant moeten zijn geïnstalleerd.
Helaas zijn mijn labs niet compatible met Apple ARM.
Deelnemers ontvangen een Vagrantfile, waarmee zij voor de les de lab VM kunnen opbouwen.
Opties voor de cursus
Deze intro cursus is het beste geschikt voor groepen van 5 tot 15 leerlingen.
De cursus kan volledig online worden gegeven, op afstand, via MS Teams of Zoom.
Unixerius kan een trainingslocatie aanbieden, in Almere Buiten. We kunnen tot 15 studenten ontvangen en zorgen voor lunch. Hotels en winkels zijn in de buurt, maar niet op loopafstand. Buslijn 22 brengt je binnen tien minuten vanaf station Almere Buiten naar ons kantoor op MAC3Park (vertrekt elke 15min).
Deze training kan ook bij uw bedrijf op locatie worden gegeven. Daarbij zijn we echter geografisch geboden aan de driehoek Amsterdam - Utrecht - Zwolle.
Cursus opbouw
Dag 1
- Opening / introductie
- Werken bij een (groot) IT-bedrijf.
- LAB: Kennismaken met Azure DevOps.
- De SDLC, hoe wordt software gebouwd?
- LAB: Ons eigen project, voor het eerst in beeld.
- GROUP: Verkenning van de broncode.
Dag 2
- Project management
- LAB: Azure DevOps Boards
- Coöperatief aan software bouwen, Git beginselen
- LAB: Branches, (forks), samenwerken aan code
- Virtual machines, containers, cloud hosting
- LAB: We runnen ons project in Docker
- CI/CD pipelines
- LAB: Ons project gaat online, op Azure
Dag 3
- Applicatie tests
- LAB: Automatisch functioneel testen
- DevSecOps fundamentals
- Software kwetsbaarheden, CVE en CVSS
- LAB: Software composition analysis (SCA)
- LAB: SCA voor containers
- GROUP: threat modelling
Dag 4
- SAST (Static analysis)
- LAB: SAST in de pipeline
- Secrets management
- LAB: Secrets detection
- Veilig naar productie
- LAB: Gated pull to prod, branching policies
- LAB: Deploy to prod
Dag 5
- Vulnerability management
- LAB: Gecentraliseerd vulnerability scanning
- Pen-testing
- LAB: Geautomatiseerde abuse tests
- Dynamic testing (DAST)
- LAB: DAST in de pipeline
- Bescherming in de cloud
- LAB: WAF
- Closing