DevSecOps安全交付应用实战(第四期)
08月30日
12周
1人
讲师
- udxiaoxin
- 姜瑞鑫
12年IT 从业经验,8年欧美金融企业工作经验,负责核心系统的设计及架构。
2010年开始公司敏捷实践,12年开始担任全职自动化测试 架构师,而后是公司DevOps 的探路者。
2015年开始担任上海电商公司架构师, 架构组长,软件发布及运维平台负责人。
2017年开始担任亚太区交付安全经理,负责DevSecOps。
课程简介
在IBM的 CAMSS 企业架构中: 分别有Cloud, Analytics, Mobile, Social,
Security。时至今日,安全已经是企业最为关心的问题之一。尤其是对大公司来讲,安全不仅关系着声誉也关系着公司是否能从各个方面来保护公司的有形无形的资产。某东的客户信息泄露,某程生产环境被删除,无一不昭示着公司内部的信息安全机制的缺失。
DevSecOps 是最近几年在欧美业界非常热门的话题。没有安全保证的交付,即使是快速迭代了,也会给公司信息安全, 客户的数据安全留下隐患。而且必然会被内部和外部的审计部门查出来,从而影响公司相关资质的获取。我们甚至可以这么断言无法将Security嵌入到DevOps当中的变革,必然是无法成功的。在国外的一些新型企业中(如:ACME),一个3~5人的安全团队就可以支撑每天应用上达几百次的部署和发布下的代码安全审查和渗透攻击检测!
安全是一个独立与应用架构之外的话题吗?显然不是,应用安全包括机密性,可用性,数据的完整性,与功能和用户体验一起构成了一个最终的架构需求。过去20年,蓬勃发展中国互联网行业孕育了大量高水平的设计和架构人员。随着企业和社会的发展,应用架构的安全需求也跟着水涨船高。对这些人才来说,如何在深度挖掘自己的专业领域技能之外,横向的扩展自己的综合素质是能否突破个人价值瓶颈的关键。
这门课不会是一门专业讲安全的课,也不会是一门专门讲DevOps的课。而是一门讲述从一个传统开发人员,架构师的角度去理解交付中的安全是如何保障的。尤其是时至今日,DevOps 大行其道之下,我们如何通过自动化的方式将安全控制无缝的嵌入到DevOps 的CI/CD 交付管道当中去。
DevSecOps 是最近几年在欧美业界非常热门的话题。没有安全保证的交付,即使是快速迭代了,也会给公司信息安全, 客户的数据安全留下隐患。而且必然会被内部和外部的审计部门查出来,从而影响公司相关资质的获取。我们甚至可以这么断言无法将Security嵌入到DevOps当中的变革,必然是无法成功的。在国外的一些新型企业中(如:ACME),一个3~5人的安全团队就可以支撑每天应用上达几百次的部署和发布下的代码安全审查和渗透攻击检测!
安全是一个独立与应用架构之外的话题吗?显然不是,应用安全包括机密性,可用性,数据的完整性,与功能和用户体验一起构成了一个最终的架构需求。过去20年,蓬勃发展中国互联网行业孕育了大量高水平的设计和架构人员。随着企业和社会的发展,应用架构的安全需求也跟着水涨船高。对这些人才来说,如何在深度挖掘自己的专业领域技能之外,横向的扩展自己的综合素质是能否突破个人价值瓶颈的关键。
这门课不会是一门专业讲安全的课,也不会是一门专门讲DevOps的课。而是一门讲述从一个传统开发人员,架构师的角度去理解交付中的安全是如何保障的。尤其是时至今日,DevOps 大行其道之下,我们如何通过自动化的方式将安全控制无缝的嵌入到DevOps 的CI/CD 交付管道当中去。
课程章节
- 第1课 从敏捷到DevOps再到DevSecOps
- 第2课 OWASP 安全问题总览
- 第3课 XSS 安全问题及解决方案
- 第4课 SQL Injection 安全问题及解决方案
- 第5课 CSRF 安全问题及解决方案
- 第6课 DevSecOps 应用架构的Secure By Default 是如何实现的。
- 第7课 DevSecOps 安全的软件供应链检查
- 第8课 DevSecOps 代码审计及自动化, 及CI/CD 集成
- 第9课 DevSecOps 侵入攻击漏洞检测及自动化
- 第10课 DevSecOps BDD Security 及 CI/CD 集成
- 第11课 DevSecOps 生产环境的安全防护和检测(Redis, Elasticsearch等)
- 第12课 DevSecOps 公司软件开发流程的改进要求
学费
学费: ¥400 ( 固定学费: ¥100, 逆向学费: ¥300 )
新颖的课程收费形式:“逆向收费”约等于免费学习,仅收取100元固定收费+300元逆向学费,学习圆满则逆向学费全额返还给学员!