DEVSECOPS

• O que é DevOps: Conceitos básicos e a importância da cultura DevOps.
• Os princípios do DevOps – CAMS: Cultura, Automação, Medição e Compartilhamento.
• Benefícios e desafios de adotar DevOps: Vantagens e possíveis dificuldades na implementação.
• CI/CD – O que é?

• O que é Continuous Integration? Integração contínua e suas práticas.
• O que é Continuous Deployment? Entrega contínua e automação do deployment.

• Estratégia de deployment Blue / Green: Estratégias de deployment para minimizar downtime e riscos.
• Como projetar um pipeline de CI/CD: Passos para criar pipelines eficientes.
• O que é DevSecOps? Integração de segurança no ciclo de vida do desenvolvimento.

• SCM – Source Code Management – GitHub: Controle de versão e repositórios de código.
• Plataforma de CI/CD – Circle CI: Automação de builds, testes e deploys.
• Provedor de Cloud – AWS: Serviços em nuvem da Amazon para suporte a DevSecOps.
• Solução para containers – Docker: Uso de containers para consistência e portabilidade.
• Infrastructure as Code: Introdução a Automação de infraestrutura e segurança com IaC.
• SAST – Static Analysis Security Tool: Ferramentas para análise estática de código (ex: SonarQube).
• DAST – Dynamic Analysis Security Tool: Ferramentas para análise dinâmica de segurança (ex: OWASP ZAP).
• Gestão de Vulnerabilities – Defect Dojo: Plataforma para gestão de vulnerabilidades.
• Hands-on: Configurando um pipeline de CI/CD

• GitHub: Integração de repositórios de código.
• Circle CI: Configuração de pipelines automatizados.
• AWS: Deployment em ambiente de nuvem.

• O que é S-SDLC? Ciclo de vida de desenvolvimento seguro.
• Frameworks de S-SDLC: OWASP SAMM e outros frameworks de segurança.
• Fases do S-SDLC: Estratégia, educação, requisitos de segurança, codificação segura, análise de código, testes de segurança e gestão de vulnerabilidades.
• S-SDLC e DEVOPS – DEVSECOPS: Integração de práticas de segurança no DevOps.

• Software de terceiros – Quais os riscos? Riscos associados ao uso de bibliotecas de terceiros.
• O que é SCA – Software Composition Analysis? Análise da composição do software e seus componentes.
• Como funciona uma solução de SCA? Funcionamento de ferramentas como Snyk.
• Desafios de se implementar SCA: Desafios e considerações na implementação.
• Hands-on: Software Composition Analysis no pipeline de CI/CD

• GitHub: Integração de SCA em repositórios.
• Circle CI: Automação de SCA em pipelines.
• Docker: Análise de vulnerabilidades em containers.
• AWS: Deployment seguro com SCA.

• O que é SAST? Análise estática de segurança de aplicações.
• Como funciona uma ferramenta de SAST? Funcionamento e exemplos de ferramentas.
• O que deve-se considerar ao implementar SAST? Boas práticas e desafios.
• O que é Secrets Scanning? Detecção de segredos e credenciais no código.
• Como funciona uma ferramenta de Secrets Scanning? Ferramentas e integração.
• Hands-on: Static Analysis no pipeline de CI/CD

• GitHub: Análise estática em repositórios.
• Circle CI: Integração de SAST em pipelines.
• Docker: Análise de código em containers.
• AWS: Implementação de SAST em ambientes de nuvem.

• O que é DAST? Análise dinâmica de segurança de aplicações.
• Como funciona uma ferramenta de DAST? Ferramentas e exemplos (ex: OWASP ZAP).
• Testes dinâmicos de API – API Scanning: Segurança de APIs e ferramentas de varredura (ex: OWASP ZAP).
• O que considerar ao implementar DAST? Considerações e desafios.
• Hands-on: DAST e API Scanning no pipeline de CI/CD

• GitHub: Integração de DAST em repositórios.
• Circle CI: Automação de testes dinâmicos.
• Docker: Execução de DAST em containers.
• AWS: Implementação de DAST em nuvem.

• O que é Infrastructure as Code (IaC)? Definição e benefícios.
• Linguagens e plataformas de IaC: Terraform, Ansible, Puppet, AWS CDK e Serverless Framework.
• Como definir a plataforma ou linguagem: Critérios de escolha.
• Riscos de Segurança ao se utilizar IaC: Boas práticas e mitigação de riscos.
• Hands-on Infra as Code:
LAB 01: Implementando IaC usando Terraform
• GitHub, Circle CI, Docker, AWS: Integração de IaC e ferramentas de segurança.
LAB 02: Análise estática de código com Checkov
• GitHub, Circle CI, Docker, AWS: Integração de Checkov para análise de código.

• O que é Gestão de Vulnerabilidades? Definição e importância.
• Fluxo da Gestão de Vulnerabilidades: Processo de identificação, análise e mitigação.
• Desafios da correta gestão de Vulnerabilidades: Desafios comuns e como superá-los.
• Ferramentas de Gestão de Vulnerabilidades: DefectDojo, Konducto, ThreadFix, Conviso Appsec.
• Triagem de Falsos positivos: Técnicas e boas práticas.
• Relatórios e indicadores importantes: Medição e análise de desempenho.
• Implementando Gestão de Vulnerabilidades: Estratégias e integração com DevSecOps.
• Hands-on: Integrando Ferramentas de Segurança com DEFECT DOJO

• GitHub, Circle CI, Docker, AWS: Integração de ferramentas de gestão de vulnerabilidades.