Temario del curso
1. Fundamentos de DevSecOps: Seguridad desde el diseño
🔍 Aprendizaje: Principios centrales de DevSecOps y SDLC seguro
🛠️ Demostración: Comparación lado a lado entre pipelines heredados y pipelines seguros modernos
🔧 Laboratorio: Construye tu primera plantilla de pipeline habilitada para DevSecOps
2. Bootcamp de pruebas de seguridad con OWASP ZAP
💣 Simulación de incursión:
- Despliega una aplicación vulnerable con SQLi y XSS
- Usa OWASP ZAP para detectar y mitigar amenazas
⚙️ Tácticas de defensa:
- Escaneo automatizado con ZAP
- Integración en CI/CD mediante la API de ZAP
🧪 Laboratorio: Personaliza los análisis base de ZAP + reglas de ataque
🎯 Desafío: «Encuentra el panel de administración oculto en 10 minutos»
3. El infierno de las dependencias: Defensa contra la cadena de suministro
💣 Simulación de incursión:
- Inyecta un paquete npm malicioso con CVEs
🛡️ Tácticas de defensa:
- Monitorea vulnerabilidades con OWASP Dependency-Track
- Aplica puertas de política que fallan las compilaciones ante CVEs críticos
🧪 Laboratorio: Crea políticas de vulnerabilidad y flujos de alerta
⚠️ Demostración impactante: «Cómo una sola dependencia dañina puede tomar el control de tu infraestructura»
4. Sala de guerra para la gestión de vulnerabilidades
💣 Simulación de incursión:
- Explota vulnerabilidades en contenedores sin parchear
🛡️ Tácticas de defensa:
- Centraliza los informes con OWASP DefectDojo
- Escanea contenedores con Trivy
🧪 Laboratorio: Construye dashboards reales para informes a directores y ejecutivos (CISO)
🏁 Competición: «Triaja 50 hallazgos más rápido que tus rivales»
5. Práctica de emergencias con secretos y configuración
💣 Simulación de incursión:
- Exfiltra secretos del historial de Git usando truffleHog
🛡️ Tácticas de defensa:
- Ganchos pre-commit para bloquear patrones como
password=.* - Usa el spider de configuración de ZAP para revelar configuraciones peligrosas
🧪 Laboratorio: Implementa la escaneadura de secretos en GitHub Actions
🚨 Chequeo de realidad: «Tu contraseña de base de datos está en Slack ahora mismo»
6. Cierre: Plan de batalla DevSecOps
🧭 Hoja de ruta para la integración con OWASP:
- Planifica la adopción de DefectDojo, Dependency-Track y ZAP
📋 Plan de acción personal:
- Elabora tu lista de verificación de seguridad para 30 días
- Define tus KPIs de DevSecOps y dashboards de informes
Requerimientos
Experiencia fundamental en software y ciclo de vida del desarrollo de software (SDLC)
Público objetivo
Ingenieros DevOps, de seguridad y cloud que odian las charlas teóricas sobre seguridad
Testimonios (2)
El conocimiento y experiencia del consultor ya que se abordan los temas teóricos aplicándolos a la realidad de los procesos. El curso contiene un programa de mucho valor en la gestión de las tecnologías de información.
Luis Castro Gamboa - Cooperativa De Ahorro Y Credito Ande No. 1 R.L.
Curso - Site Reliability Engineering (SRE) Foundation®
Que fue muy claro en cada especificación