Visão Geral
O Curso DevSecOps na Pratica Desenvolvimento Seguro de Software, apresenta uma abordagem completa para a construção de aplicações seguras desde a fase inicial de desenvolvimento até a entrega contínua em produção. O treinamento cobre os fundamentos de segurança no desenvolvimento de software, a integração da segurança em pipelines CI/CD, práticas de automação de testes de segurança, modelagem de ameaças e estratégias para evolução do nível de maturidade DevSecOps. O participante terá contato tanto com conceitos teóricos quanto com práticas reais de defesa e ataque cibernético aplicadas ao ciclo de vida do software.
DevSecOps é uma abordagem que integra segurança ao DevOps, garantindo que a segurança do software seja tratada desde o início do desenvolvimento até a operação em produção, e não apenas no final do projeto. Em vez de a segurança ser responsabilidade exclusiva de um time separado, no DevSecOps ela passa a ser responsabilidade de todos: desenvolvimento, operações e segurança.
Como funciona o DevSecOps
O DevSecOps incorpora controles, testes e práticas de segurança diretamente no ciclo de vida do software (SDLC) e nos pipelines de CI/CD:
- Planejamento → requisitos de segurança desde o início
- Desenvolvimento → código seguro (secure coding)
- Build → análise automática de código e dependências
- Testes → testes de segurança contínuos
- Deploy → validações de segurança antes da produção
- Operação → monitoramento e resposta a incidentes
Principais pilares do DevSecOps
- Segurança desde o início (Shift Left Security)
- Automação de segurança nos pipelines CI/CD
- Cultura colaborativa entre Dev, Sec e Ops
- Monitoramento contínuo e resposta rápida a incidentes
- Melhoria contínua da maturidade de segurança
Exemplos de práticas DevSecOps
- Análise de código-fonte automática (SAST)
- Análise de bibliotecas e dependências (SCA)
- Testes dinâmicos de segurança (DAST)
- Modelagem de ameaças (Threat Modeling)
- Gestão de vulnerabilidades
- Controles de segurança em containers e cloud
Benefícios do DevSecOps
- Redução de vulnerabilidades em produção
- Entrega mais rápida e segura de software
- Menor custo para correção de falhas
- Conformidade com normas e boas práticas
- Maior confiança do cliente e do negócio
DevOps × DevSecOps (diferença rápida)
- DevOps: foco em velocidade e automação
- DevSecOps: velocidade com segurança integrada
Em resumo, DevSecOps é desenvolver, testar, entregar e operar software de forma segura, automatizada e contínua, tornando a segurança parte natural do processo — e não um gargalo.
Conteúdo Programatico
Module 1: Introduction to Secure Software Development and DevSecOps
- Secure Software Development concepts
- DevOps vs DevSecOps
- Security in the Software Development Life Cycle (SDLC)
Module 2: Security Fundamentals for Developers
- Application security principles
- OWASP Top 10 overview
- Secure coding best practices
Module 3: Threat Modeling
- Introduction to threat modeling
- STRIDE methodology
- Identifying threats and attack surfaces
Module 4: Secure CI/CD Pipelines
- CI/CD concepts and pipeline architecture
- Integrating security into CI/CD pipelines
- Security gates and quality checks
Module 5: Static and Dependency Security Testing
- Static Application Security Testing (SAST)
- Software Composition Analysis (SCA)
- Managing vulnerabilities in open-source dependencies
Module 6: Dynamic and Runtime Security Testing
- Dynamic Application Security Testing (DAST)
- Runtime security concepts
- Security testing in staging and production
Module 7: Attack and Defense Practices
- Common application attacks
- Exploitation techniques overview
- Defensive controls and mitigation strategies
Module 8: DevSecOps Maturity and Continuous Improvement
- DevSecOps maturity models
- Measuring security and pipeline performance
- Continuous security improvement strategies
Module 9: Secure Software Delivery in Practice
- End-to-end secure delivery pipeline
- Hands-on DevSecOps lab
- Best practices and real-world scenarios