RobustX / Chương trình học / Chuyên đề / CyberSecurity / Certified DevSecOps Professional (CDP)

Certified DevSecOps Professional (CDP)

Chương trình “Certified DevSecOps Professional (CDP)” được xây dựng nhằm giải quyết thách thức thiếu hụt một khuôn khổ thực tiễn để tích hợp bảo mật vào quy trình DevOps. Khóa học cung cấp một lộ trình bài bản, từ tư duy, văn hóa đến công cụ, giúp các chuyên gia công nghệ tự động hóa và nhúng bảo mật một cách liền mạch vào mọi giai đoạn của vòng đời phát triển phần mềm, thay vì xem bảo mật là một bước kiểm tra sau cùng.

Thông qua các bài lab thực chiến chuyên sâu, chương trình không chỉ củng cố kiến thức lý thuyết mà còn tập trung phát triển năng lực triển khai và quản lý một hệ sinh thái DevSecOps hoàn chỉnh. Học viên sẽ được trang bị kỹ năng cần thiết để thúc đẩy văn hóa hợp tác, phá vỡ rào cản giữa các phòng ban, và biến bảo mật thành trách nhiệm chung, yếu tố then chốt cho sự thành công của quá trình chuyển đổi số an toàn.

Thời lượng: 42h

Hình thức đào tạo:

    • Đào tạo trực tiếp tại lớp học
    • Đào tạo trực tuyến
    • Đào tạo hybrid (trực tuyến kết hợp trực tiếp)
    • Đào tạo tại văn phòng khách hàng

Mục tiêu khoá học:

  1. LÀM CHỦ HỆ SINH THÁI DEVSECOPS
    Xây dựng nền tảng vững chắc về CI/CD, DevOps và Vòng đời Phát triển Phần mềm An toàn (Secure SDLC) để dẫn dắt quá trình chuyển đổi.
  2. XÂY DỰNG ĐƯỜNG ỐNG CI/CD AN TOÀN
    Tích hợp và tự động hóa toàn diện các công cụ SCA, SAST, DAST vào quy trình để phát hiện và khắc phục lỗ hổng từ sớm.
  3. THỰC THI BẢO MẬT DƯỚI DẠNG MÃ (SECURITY AS CODE)
    Sử dụng các công cụ tự động hóa để quản lý nhất quán hạ tầng (IaC) và tuân thủ (CaC), đảm bảo tính lặp lại và giảm thiểu lỗi thủ công.
  4. QUẢN LÝ LỖ HỔNG TẬP TRUNG
    Triển khai hệ thống để tổng hợp, phân loại và quản lý vòng đời các lỗ hổng bảo mật từ nhiều công cụ quét khác nhau một cách hiệu quả.
  5. THÚC ĐẨY VĂN HÓA HỢP TÁC VÀ CHIA SẺ
    Học cách phá vỡ rào cản, xây dựng cầu nối và thúc đẩy trách nhiệm bảo mật chung giữa các nhóm Phát triển, Vận hành và Bảo mật.

Đối tượng tham gia

Kỹ sư DevOps

Muốn tích hợp bảo mật một cách tự động và hiệu quả vào các đường ống CI/CD hiện có.

Chuyên gia Bảo mật

Muốn dịch chuyển kỹ năng sang môi trường “Shift Left” và áp dụng kiến thức bảo mật từ sớm.

Lập trình viên

Muốn chủ động chịu trách nhiệm về bảo mật trong mã nguồn và ứng dụng do mình xây dựng.

Kiến trúc sư

Chịu trách nhiệm thiết kế các hệ thống, ứng dụng và quy trình phát triển an toàn, có khả năng mở rộng.

Nội dung khóa học

1. Nền tảng DevOps và Chuyển đổi sang DevSecOps
    • Tổng quan về DevOps:
      • Các thành phần cốt lõi: Con người, Quy trình và Công nghệ.
      • Nguyên tắc CAMS: Văn hóa (Culture), Tự động hóa (Automation), Đo lường (Measurement), Chia sẻ (Sharing).
    • Quy trình CI/CD:
      • Phân biệt Tích hợp Liên tục (CI), Chuyển giao Liên tục (CD), và Triển khai Liên tục (CD).
      • Chiến lược triển khai hiện đại: Blue/Green, Canary, và A/B Testing.
    • Giới thiệu DevSecOps:
      • Sự cần thiết của việc tích hợp bảo mật (“Shift Left”).
      • Demo tổng quan về một đường ống DevSecOps hoàn chỉnh trong môi trường doanh nghiệp.
2. Hệ sinh thái Công cụ và Lab thực hành Nền tảng
    • Tổng quan các công cụ chính:
      • Giới thiệu vai trò của Git, Docker, Jenkins, Ansible, OWASP ZAP, Inspec trong hệ sinh thái.
    • Thực hành Hạ tầng dưới dạng Mã (IaC):
      • Sử dụng Vagrant và VirtualBox để tự động hóa việc khởi tạo môi trường phát triển và kiểm thử.
    • Xây dựng đường ống CI/CD đầu tiên:
      • Cài đặt và cấu hình Jenkins, tích hợp với GitLab để xây dựng một CI pipeline cơ bản.
    • Bảo mật hướng hành vi (BDD Security):
      • Sử dụng Gauntlt và Cucumber để mã hóa các kịch bản kiểm thử bảo mật.
3. Vòng đời Phát triển Phần mềm An toàn (Secure SDLC)
    • Mô hình hóa Secure SDLC:
      • Ánh xạ các hoạt động bảo mật (Security Activities) vào từng giai đoạn của SDLC.
      • Thiết lập các cổng kiểm soát chất lượng bảo mật (Security Gates) trong quy trình.
    • Mô hình Trưởng thành DevSecOps (DSOMM):
      • Giới thiệu các cấp độ, các trục đánh giá và các thực tiễn tốt nhất để đo lường sự trưởng thành.
    • Tích hợp Bảo mật vào CI/CD:
      • Thực hành thiết kế và xây dựng một đường ống CI/CD hoàn chỉnh, tích hợp các bước kiểm tra bảo mật.
4. Phân tích Thành phần Phần mềm (SCA) trong Đường ống CI/CD
    • Nguyên lý và Thách thức của SCA:
      • Software Component Analysis (SCA) là gì và tầm quan trọng của việc quản lý chuỗi cung ứng phần mềm.
      • Tiêu chí lựa chọn và triển khai một giải pháp SCA hiệu quả.
    • Tích hợp các công cụ SCA:
      • Tự động quét với OWASP Dependency-Check cho các dự án Java/.NET.
      • Sử dụng Retire.js, NPM Audit cho các ứng dụng JavaScript.
      • Tích hợp Safety để quét các gói phụ thuộc của ứng dụng Python.
      • Giới thiệu Snyk như một giải pháp toàn diện.
5. Kiểm thử Bảo mật Ứng dụng Tĩnh (SAST) và Quét Bí mật
    • Nguyên lý và Thách thức của SAST:
      • Static Application Security Testing (SAST) là gì?
      • Chiến lược xử lý kết quả dương tính giả (False Positives) để không làm gián đoạn pipeline.
    • Tích hợp các công cụ SAST:
      • Sử dụng SpotBugs/SonarQube cho mã nguồn Java.
      • Tích hợp Bandit để phân tích các vấn đề bảo mật phổ biến trong mã nguồn Python.
      • Sử dụng Brakeman cho các ứng dụng Ruby on Rails.
    • Quét tìm Bí mật (Secrets Scanning):
      • Ngăn chặn lộ lọt thông tin nhạy cảm (API keys, passwords) trong mã nguồn.
      • Tích hợp các công cụ chuyên dụng như TruffleHog và Git-secrets vào pre-commit hooks và CI pipeline.
6. Kiểm thử Bảo mật Ứng dụng Động (DAST) trong Đường ống CI/CD
    • Nguyên lý và Thách thức của DAST:
      • Dynamic Application Security Testing (DAST) là gì?
      • Các thách thức phức tạp: quản lý phiên (Session Management), quét ứng dụng Single-Page (SPA/AJAX).
    • Tích hợp OWASP ZAP:
      • Chạy ZAP ở các chế độ khác nhau: Baseline Scan, Full Scan, và API Scan.
      • Cấu hình và tự động hóa hoàn toàn OWASP ZAP trong đường ống Jenkins.
    • Tích hợp Burp Suite Dastardly:
      • Sử dụng công cụ quét DAST nhanh và nhẹ của Burp Suite cho các lần quét theo commit.
    • Tự động hóa Kiểm tra Cấu hình:
      • Kiểm tra các lỗi cấu hình SSL/TLS và các tệp/thư mục nhạy cảm bị lộ trên máy chủ.
7. Hạ tầng dưới dạng Mã (IaC) và Bảo mật
    • Nguyên lý và Kiến trúc của IaC:
      • Tổng quan về IaC và lợi ích trong DevOps: tính nhất quán, khả năng lặp lại.
      • Khái niệm Hạ tầng Bất biến (Immutable Infrastructure).
    • Làm chủ Ansible:
      • Kiến trúc Ansible: Modules, Tasks, Roles, Playbooks, Inventory.
      • So sánh mô hình Push-based (Ansible) và Pull-based (Puppet/Chef).
    • Thực hành làm cứng hệ thống:
      • Sử dụng Ansible và Docker để xây dựng các “Golden Image” (ví dụ: AMI) đã được làm cứng (hardened).
      • Viết Ansible Playbook để tự động hóa việc cấu hình bảo mật cho máy chủ Linux theo chuẩn CIS Benchmark.
8. Tuân thủ dưới dạng Mã (CaC)
    • Tổng quan về Compliance as Code (CaC):
      • Các phương pháp tiếp cận để tự động hóa việc kiểm tra và báo cáo tuân thủ trong môi trường DevOps.
    • Kiểm tra Tuân thủ với Inspec:
      • Giới thiệu về Inspec, cú pháp và cách viết các bộ quy tắc (profiles).
      • Lab thực hành: Viết một Inspec profile để kiểm tra máy chủ web có đáp ứng tiêu chuẩn bảo mật của tổ chức.
    • Tích hợp CaC vào CI/CD:
      • Tự động chạy kiểm tra Inspec sau mỗi lần triển khai để xác minh trạng thái tuân thủ liên tục.
9. Quản lý Lỗ hổng Tập trung
    • Vòng đời Quản lý Lỗ hổng:
      • Các phương pháp tiếp cận để quản lý lỗ hổng trong tổ chức: Triage, Prioritization, Remediation.
    • Triển khai DefectDojo:
      • Giới thiệu DefectDojo – nền tảng quản lý lỗ hổng và chương trình bảo mật ứng dụng mã nguồn mở.
      • Lab thực hành: Cài đặt, cấu hình và sử dụng các tính năng chính của DefectDojo.
    • Tự động hóa Báo cáo:
      • Tự động hợp nhất và chống trùng lặp (deduplication) kết quả từ nhiều công cụ quét.
      • Lab thực hành: Viết kịch bản để tự động đẩy kết quả từ ZAP và Bandit vào DefectDojo thông qua API.

LỊCH KHAI GIẢNG

(Đang cập nhật)

Đăng ký khóa học

Bài viết liên quan