极狐 GitLab 安全基础
课程概览
本课程将为您介绍极狐 GitLab 的所有基本安全功能,包括静态应用程序安全测试(SAST),动态应用程序安全测试(DAST),依赖项和容器扫描,许可证合规性,WAF 和策略管理。 本课程适用于拥有极狐 GitLab 旗舰版使用许可的用户,它将包括使用极狐 GitLab 进行安全扫描的 Demo 演示及动手实践内容。
适合学习的受众
项目经理,开发人员,DevSecOps 工程师和安全专家
课程构成
- 由极狐 GitLab 技术培训师提供的实时培训课程
- Demo 示范
- 动手实践
学习目标
- 描述极狐 GitLab 中可用的安全功能
- 确定可对合并请求( Merge Request )审批的团队和/或团队成员
- 启用及配置扫描工具,包括启用和禁用选项
- 启用及配置合并请求( Merge Request )安全性批准
- 查看和使用特定群组和项目的安全仪表板
- 下载扫描结果作为合规性证据
- 配置防御机制
- 测试性能并检查日志
培训时长
包含两个 4 小时的远程培训,或者 1 天的现场课程
班级人数
为保证授课效果,每班最多 12 名学员
课程表
Day 1
| 时间安排 | 主题 | 内容 |
| 9:00 – 9:30 a | 介绍安全阶段 | 安全阶段中可用的功能 |
| 极狐 GitLab 的安全扫描如何工作 | ||
| 安全报告和可用列表的类型 | ||
| 9:30 – 11:30 a | 使用 SAST 和 DAST | 什么是静态应用程序安全测试(SAST) |
| 使用 SAST 的步骤 | ||
| 配置 SAST | ||
| 在安全仪表板中查看报告 | ||
| 演示:在流水线上启用 SAST | ||
| 动手练习:在项目上使用 SAST | ||
| 什么是动态应用程序安全测试(DAST) |
||
| 使用 DAST 的步骤 | ||
| 配置 DAST | ||
| 查看漏洞和报告 | ||
| 批准请求功能 | ||
| 演示:查看 DAST 扫描示例 | ||
| 11:45a – 1:00 p | 依赖项扫描 | 什么是依赖项扫描 |
| 使用依赖关系扫描的步骤 | ||
| 配置依赖项扫描 | ||
| 查看扫描输出和报告 | ||
| 演示:在流水线上调用依赖项扫描 | ||
| 动手练习:在流水线上使用依赖项扫描 |
Day 2
| 时间安排 | 主题 | 内容 |
| 9:00 – 10:00 a | 容器扫描 | 什么是容器扫描 |
| 使用容器扫描的步骤 | ||
| 配置容器扫描 | ||
| 查看扫描输出和报告 | ||
| 模糊测试 | ||
| 请参阅实际中的模糊测试 | ||
| 演示:在流水线上调用容器扫描 | ||
| 动手练习:在流水线上使用容器扫描 | ||
| 10:00 – 11:15 a | 许可证扫描 | 什么是许可证扫描 |
| 使用许可证扫描的步骤 | ||
| 配置许可证扫描 | ||
| 查看扫描输出和报告 | ||
| 演示:将许可证文件添加到项目 | ||
| 演示:在流水线上调用许可证扫描 | ||
| 动手练习:在流水线上使用许可证扫描 | ||
| 11:30a – 12:45 p | 介绍保护阶段 | 保护阶段可用的功能 |
| 保护阶段的功能成熟度 | ||
| 12:45 – 1:00 p | 介绍保护阶段 | 什么是容器网络策略管理 |
| 策略管理要求 | ||
| 如何查看网络策略列表和报告 |
