Temario del curso
1. Fundamentos de DevSecOps: Seguridad desde el diseño
🔍 Aprendizaje: Principios fundamentales de DevSecOps y SDLC seguro
🛠️ Demostración: Comparación lado a lado entre tuberías legadas y modernas seguras
🔧 Laboratorio: Construye tu primera plantilla de tubería habilitada para DevSecOps
2. Bootcamp de pruebas de seguridad OWASP ZAP
💣 Simulación de brecha:
- Implementa una aplicación vulnerable con inyección SQL (SQLi) y cross-site scripting (XSS)
- Utiliza OWASP ZAP para detectar y mitigar amenazas
⚙️ Tácticas de defensa:
- Análisis automatizado con ZAP
- Integración en CI/CD a través de la API de ZAP
🧪 Laboratorio: Personaliza análisis de línea base de ZAP + reglas de ataque
🎯 Desafío: "Encuentra el panel de administración oculto en 10 minutos"
3. Infierno de dependencias: Defensa de la cadena de suministro
💣 Simulación de brecha:
- Inyecta un paquete npm malicioso con CVEs (vulnerabilidades comunes expuestas)
🛡️ Tácticas de defensa:
- Monitorea vulnerabilidades con OWASP Dependency-Track
- Aplica puertas de política que fallan las compilaciones al detectar CVEs críticos
🧪 Laboratorio: Crea políticas de vulnerabilidad y flujos de trabajo de alertas
⚠️ Demostración impactante: "Cómo una sola dependencia defectuosa puede tomar el control de tu infraestructura"
4. Sala de guerra de gestión de vulnerabilidades
💣 Simulación de brecha:
- Aprovecha vulnerabilidades sin parchear en contenedores
🛡️ Tácticas de defensa:
- Centraliza los informes con OWASP DefectDojo
- Escanea contenedores con Trivy
🧪 Laboratorio: Construye paneles reales para informes a CISO/directivos
🏁 Competencia: "Prioriza 50 hallazgos más rápido que tus rivales"
5. Práctica de evacuación de secretos y configuración
💣 Simulación de brecha:
- Exfiltra secretos del historial de Git usando truffleHog
🛡️ Tácticas de defensa:
- Ganchos pre-commit para bloquear patrones como
password=.* - Usa el araña de configuración de ZAP para revelar ajustes peligrosos
🧪 Laboratorio: Implementa escaneo de secretos en GitHub Actions
🚨 Realidad comprobada: "Tu contraseña de base de datos está ahora mismo en Slack"
6. Cierre: Plan de batalla DevSecOps
🧭 Hoja de ruta para la integración de OWASP:
- Planifica la adopción de DefectDojo, Dependency-Track y ZAP
📋 Plan de acción personal:
- Elabora tu lista de verificación de seguridad de 30 días
- Define tus KPIs de DevSecOps y paneles de informes
Requerimientos
Experiencia fundamental en software y ciclo de vida del desarrollo de software (SDLC)
Audiencia
Ingenieros de DevOps, Seguridad y Cloud que odian las charlas teóricas sobre seguridad
Testimonios (2)
El conocimiento y experiencia del consultor ya que se abordan los temas teóricos aplicándolos a la realidad de los procesos. El curso contiene un programa de mucho valor en la gestión de las tecnologías de información.
Luis Castro Gamboa - Cooperativa De Ahorro Y Credito Ande No. 1 R.L.
Curso - Site Reliability Engineering (SRE) Foundation®
Que fue muy claro en cada especificación