Temario del curso
1. Fundamentos de DevSecOps: Seguridad desde el Diseño
🔍 Aprendizaje: Principios clave de DevSecOps y SDLC seguro
🛠️ Demostración: Comparación lado a lado entre pipelines legacy y pipelines seguros modernos
🔧 Laboratorio: Construye tu primera plantilla de pipeline habilitada para DevSecOps
2. Campo de Entrenamiento en Pruebas de Seguridad con OWASP ZAP
💣 Simulación de Incursión:
- Despliega una aplicación vulnerable con SQLi y XSS
- Utiliza OWASP ZAP para detectar y mitigar amenazas
⚙️ Tácticas de Defensa:
- Escaneo automatizado con ZAP
- Integración en CI/CD mediante la API de ZAP
🧪 Laboratorio: Personaliza los escaneos básicos de ZAP y las reglas de ataque
🎯 Desafío: "Encuentra el panel de administración oculto en 10 minutos"
3. Infierno de Dependencias: Defensa de la Cadena de Suministro
💣 Simulación de Incursión:
- Inyecta un paquete npm malicioso con CVEs
🛡️ Tácticas de Defensa:
- Monitorea vulnerabilidades con OWASP Dependency-Track
- Aplica puertas de política que fallan los builds al detectar CVEs críticos
🧪 Laboratorio: Crea políticas de vulnerabilidad y flujos de alerta
⚠️ Demostración Impactante: "Cómo una sola dependencia maliciosa puede tomar el control de tu infraestructura"
4. Sala de Guerra para la Gestión de Vulnerabilidades
💣 Simulación de Incursión:
- Explota vulnerabilidades no parcheadas en contenedores
🛡️ Tácticas de Defensa:
- Centraliza los informes con OWASP DefectDojo
- Escanea contenedores con Trivy
🧪 Laboratorio: Construye dashboards reales para informes a CISOs y directivos
🏁 Competencia: "Triar 50 hallazgos más rápido que tus rivales"
5. Simulacro con Secretos y Configuraciones
💣 Simulación de Incursión:
- Exfiltra secretos del historial de Git utilizando truffleHog
🛡️ Tácticas de Defensa:
- Hooks pre-commit para bloquear patrones como
password=.* - Utiliza el spider de configuración de ZAP para exponer configuraciones peligrosas
🧪 Laboratorio: Implementa el escaneo de secretos en GitHub Actions
🚨 Realidad Cruda: "Tu contraseña de base de datos está en Slack en este momento"
6. Cierre: Plan de Batalla DevSecOps
🧭 Hoja de Ruta para la Integración con OWASP:
- Planifica la adopción de DefectDojo, Dependency-Track y ZAP
📋 Plan de Acción Personal:
- Redacta tu checklist de seguridad para 30 días
- Define tus KPIs de DevSecOps y los dashboards de informes
Requerimientos
Experiencia fundamental en software y Ciclo de Vida de Desarrollo de Software (SDLC)
Público objetivo
Ingenieros DevOps, de Seguridad y Cloud que odian las charlas teóricas sobre seguridad
Testimonios (2)
El conocimiento y experiencia del consultor ya que se abordan los temas teóricos aplicándolos a la realidad de los procesos. El curso contiene un programa de mucho valor en la gestión de las tecnologías de información.
Luis Castro Gamboa - Cooperativa De Ahorro Y Credito Ande No. 1 R.L.
Curso - Site Reliability Engineering (SRE) Foundation®
Que fue muy claro en cada especificación