Vous êtes ici :

Formation DevSecOps : Détecter, trier et corriger les vulnérabilités applicatives dans le code et les composants logiciels

A distance ou en présentiel

Tous les niveaux

Le monde du développement logiciel évolue constamment et avec lui, les défis liés à la sécurité des applications. Dans cette formation DevSecOps, nous allons explorer l’importance croissante de la sécurité dans le cycle de développement et comment elle peut être intégrée efficacement pour détecter, trier et corriger les vulnérabilités.

Nous aborderons des sujets tels que :

– Les principes fondamentaux de DevSecOps et son importance dans le développement moderne
– Les méthodes pour identifier et analyser les vulnérabilités dans le code source et les composants logiciels
– Les stratégies pour prioriser et gérer les vulnérabilités en fonction de leur gravité et de leur impact potentiel
– Les meilleures pratiques et outils pour corriger les vulnérabilités et améliorer la sécurité des applications

Cette formation combine théorie et pratique, avec des études de cas réels, des démonstrations et des exercices pratiques. Notre objectif est de vous fournir les compétences et les connaissances nécessaires pour appliquer les principes de DevSecOps dans votre environnement de travail, améliorant ainsi la sécurité et la robustesse de vos applications.

À qui s'adresse cette formation ?

Ce cours s’adresse principalement aux membre des équipes de développement, d’intégration et de production, DevOps, SRE et DevSecOps souhaitant renforcer leur connaissances, ainsi qu’aux responsables informatiques, chefs de projets, architectes, product owner souhaitant mieux comprendre les enjeux, les tactiques et les procédures de la sécurisation logicielle.

Pour suivre cette formation DevSecOps, il est nécessaire d’avoir une bonne connaissance des systèmes Linux, d’avoir des rudiments de sécurité des applications web et de maîtriser au moins un langage de développement parmi PHP, Java, Python ou Javascript

Les objectifs de la formation

Objectif opérationnel :

Savoir manipuler les outils et services présents dans un pipeline CI/CD (intégration et déploiement continu) selon l’approche DevSecOps.

Objectifs pédagogiques :

À l’issue de cette formation DevSecOps, vous aurez acquis les connaissances et compétences nécessaires pour :

  • Appréhender la qualification des vulnérabilités logicielles
  • Manipuler des outils et services modernes de détection, d’analyse et de remédiation / mitigation
  • Être capable de discuter des impacts sur les organisations informatiques
  • Connaître les meilleures pratiques et outils pour améliorer la sécurité des applications

Contenu de la formation

  • Les principes fondamentaux de DevSecOps et l'importance de la sécurité dans le développement moderne

    • Définition et origine : comprendre ce qu’est DevSecOps et comment il évolue à partir des pratiques de DevOps
    • Principes clés : examiner les principes fondamentaux du DevSecOps, comme l’intégration de la sécurité dès le début du cycle de développement
    • Avantages : discuter des avantages du DevSecOps, notamment la réduction des risques et l’amélioration de la qualité du logiciel
  • Intégration de la sécurité dans le cycle de développement

    • Sécurité dès la conception : souligner l’importance d’intégrer la sécurité dès les premières phases de la conception
    • Outils et automatisation : présenter les outils couramment utilisés pour automatiser les tests de sécurité dans les pipelines CI/CD
    • Collaboration Interfonctionnelle : expliquer comment la collaboration entre les développeurs, les opérations et les équipes de sécurité est essentielle pour réussir le DevSecOps
  • Rappel sur OWASP Top 10

    • Introduction au projet OWASP Top 10, qui répertorie les 10 risques de sécurité les plus critiques pour les applications web. Brève histoire de l’OWASP Top 10 et comment il a évolué au fil des ans pour répondre aux nouvelles menaces.
    • Les risques de sécurité du Top 10 : Injection SQL, XSS, et autres vulnérabilités : discussion détaillée sur des vulnérabilités courantes comme les injections SQL et les attaques par cross-site scripting (XSS)
    • Exemples et études de Cas : analyse d’exemples réels d’attaques et de vulnérabilités pour illustrer comment elles se produisent et leurs impacts
  • Prévention et mitigation

    • Stratégies de prévention : conseils sur les meilleures pratiques pour prévenir chaque risque listé dans l’OWASP Top 10
    • Outils et ressources : présentation d’outils et de ressources utiles pour détecter et atténuer les vulnérabilités
  • Application de l’OWASP Top 10 dans le cadre DevSecOps

    • Intégration dans les pipelines CI/CD : comment intégrer la vérification des vulnérabilités du Top 10 dans les pipelines de développement continu
    • Formation et sensibilisation des Équipes : l’importance de former et de sensibiliser les équipes de développement et de sécurité aux risques du Top 10 et aux meilleures pratiques pour les éviter
  • Identification et analyse des vulnérabilités dans le code source et les composants logiciels

    • Types de vulnérabilités : exploration des différentes catégories de vulnérabilités dans le code
    • Exemples et analyse de Code : présentation d’exemples concrets de code vulnérable et analyse de pourquoi et comment ces vulnérabilités se produisent
    • Utilisation de code source Sûr : discussion sur les pratiques de développement sécurisé, incluant la rédaction de code propre et sécurisé
  • Outils pour détecter les vulnérabilités

    • Scanners de vulnérabilités statiques (SAST) : introduction aux outils SAST, leur fonctionnement, et comment les intégrer dans le processus de développement
    • Scanners de vulnérabilités dynamiques (DAST) : présentation des outils DAST, leur rôle dans la détection des vulnérabilités au sein d’applications en cours d’exécution
    • Démos et tutoriels : démonstrations pratiques de l’utilisation de ces outils pour identifier les vulnérabilités
  • Analyse des composants logiciels

    • Gestion des dépendances : comprendre l’importance de gérer les dépendances logicielles et les risques liés aux bibliothèques/librairies/packages/images Docker tiers
    • Scanners de composants logiciels (SCA) : explication de la façon dont les scanners de composants logiciels aident à détecter les vulnérabilités dans les bibliothèques tierces
    • Meilleures pratiques : fournir des stratégies pour maintenir les dépendances à jour et sécurisées
  • Triage des vulnérabilités

    • Priorisation des risques : enseigner comment évaluer et prioriser les vulnérabilités en fonction de leur gravité et de leur impact potentiel (calcul de CVSS dans ses différentes versions)
    • Gestion des faux positifs : stratégies pour gérer efficacement les faux positifs souvent générés par les outils de scan de sécurité
    • Communication et collaboration : importance de la communication entre les équipes de développement et de sécurité pour un triage efficace des vulnérabilités
  • Stratégies pour prioriser et gérer les vulnérabilités en fonction de leur gravité et impact potentiel

    • Comprendre la gravité et l’impact des vulnérabilités
    • Stratégies de priorisation des vulnérabilités
    • Gestion des vulnérabilités
    • Correction des vulnérabilités
    • Documentation et rapports
  • Meilleures pratiques et outils pour améliorer la sécurité des applications

    • Intégration de la sécurité dans le cycle de vie du développement
    • Outils et technologies de sécurité dans DevSecOps
    • Patterns/Anti-Patterns, meilleures pratiques de sécurité
    • Monitoring et réponse aux incidents
    • Conformité et normes de sécurité

Formation

A distance ou en présentiel

Référence :

DVSC

Durée :

3 jours

Ce cours est réalisable en intra-entreprise, en extra-entreprise , dans nos salles ou à distance.

Contacter notre service Intra