Introducci贸n

1

Lo que aprender谩s sobre DevOps con GitLab

2

驴Qu茅 es Devops?

3

El ciclo de vida del Devops

4

Introducci贸n a Gitlab

5

Gitlab vs Github

Administraci贸n

6

Autenticaci贸n

7

Grupos

8

Autorizaci贸n

9

Auditor铆a

10

Proyectos

Planificaci贸n

11

Tipos de desarrollo

12

Planificaci贸n en Gitlab-Issues

13

Planificaci贸n en Gitlab-Etiquetas

14

Planificaci贸n en Gitlab-Pesos

15

Planificaci贸n en Gitlab-Milestones

16

Planificaci贸n en Gitlab-Boards

17

Planificaci贸n en Gitlab-Service Desk

18

Planificaci贸n en Gitlab-Quick actions

Verificaci贸n

19

Inicializaci贸n del repositorio

20

Merge requests

21

Profundizando en Merge requests

22

Continuous Integration-CI

23

Gitlab CI

24

Automatizacion con GitLab Cl

25

Validacion de la configuracion con GitLab Cl

26

gitlab-ci.yml

27

Gitlab pages

28

Implementando Gitlab pages

29

驴Qu茅 es el Desarrollo 脕gil?

30

Gitlab autodevops

31

Implementando GitLab autodevops

32

Habilitando autodevops

Empaquetaci贸n

33

Gitlab container registry

34

Introducci贸n a contenedores

Seguridad

35

Introducci贸n a DevSecOps

36

Firmas de seguridad

37

Pruebas est谩ticas de seguridad

38

Escaneo de contenedores

39

Escaneo de dependencias

40

Pruebas din谩micas de seguridad

41

Gitlab security dashboard

Distribuci贸n

42

Continuous Delivery (CD)

43

Ambientes

44

Review apps

45

Estrategias de Distribuci贸n

46

Feature Flags

47

Rollback

Monitoreo

48

驴Por qu茅 monitorear?

49

M茅tricas de desempe帽o (performance metrics)

50

M茅tricas de salud (health metrics)

51

Metricas de equipo

52

Rastreo de errores

Conclusiones

53

驴Por qu茅 desarrollar con Gitlab?

A煤n no tienes acceso a esta clase

Crea una cuenta y contin煤a viendo este curso

Introducci贸n a DevSecOps

35/53
Recursos

En el pasado, el equipo de Seguridad actuaba aislado y actuaba 煤nicamente al final del proceso de desarrollo, un flujo de waterfall. Esto funcionaba porque eran ciclos de desarrollo que llevaban meses o a帽os.

DevSecOps significa pensar en la seguridad de la aplicaci贸n a lo largo del proceso, desde el principio. Se trata de automatizar la seguridad e incluirla en el ciclo de vida de la aplicaci贸n (no m谩s seguridad externa y en per铆metros)

Aportes 11

Preguntas 0

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesi贸n.

El manifiesto del devsecops

  • Leaning in over Always Saying 鈥淣o鈥
  • Data & Security Science over Fear, Uncertainty and Doubt
  • Open Contribution & Collaboration over Security-Only Requirements
  • Consumable Security Services with APIs over Mandated Security Controls & Paperwork
  • Business Driven Security Scores over Rubber Stamp Security
  • Red & Blue Team Exploit Testing over Relying on Scans & Theoretical Vulnerabilities
  • 24x7 Proactive Security Monitoring over Reacting after being Informed of an Incident
  • Shared Threat Intelligence over Keeping Info to Ourselves
  • Compliance Operations over Clipboards & Checklists

Suelo utilizar herramientas gratuitas para la ejecuci贸n de pruebas de seguridad en mis pipelines, ya las he podido implementar con 茅xito en CI Tools como Gitlab CI, Jenkins y Azure DevOps:

An谩lisis de dependencias: OWASP Dependency Check
An谩lisis est谩tico de seguridad: Shift Left Scan
An谩lisis de infraestructura de contenedores: Clair
An谩lisis din谩mico de seguridad: OWASP ZAP

herramientas como sonarqube te perminten ver la calidad de codigo y seguridad del mismo , cosas como no exponer el password de la dtb o dejar punteros sin cerrar, sin embargo otro tipo de pruebas como , pruebas de stress ,xss , sqli , ic , no las hace , pero las podemos programar nosotros en scripts y ejecutarlos con ci

Usamos sonarqube en los pipeline de Jenkins. Ser铆a interesante combinar GitLab con Jenkins para mejoras las pruebas de seguridad. Ahora solo usamos GitLab como repositorio de c贸digo.

MANIFESTO DEVSECOPS

  • Inclinarse sobre Siempre Decir 鈥淣o鈥

  • Ciencia de datos y seguridad por encima del miedo, la incertidumbre y la duda

  • Contribuci贸n abierta y colaboraci贸n sobre los requisitos de seguridad 煤nicamente

  • Servicios de seguridad consumibles con API sobre los controles de seguridad obligatorios y el papeleo

  • Puntuaciones de seguridad impulsadas por el negocio sobre la seguridad del sello de goma

  • Equipo rojo y azul Aprovechar las pruebas en lugar de confiar en exploraciones y vulnerabilidades te贸ricas

  • Monitoreo de seguridad proactivo 24x7 en lugar de reaccionar despu茅s de ser informado de un incidente

  • Inteligencia de amenazas compartida sobre mantener informaci贸n para nosotros mismos

  • Operaciones de cumplimiento en portapapeles y listas de verificaci贸n

En mi actual empleo, en la parte de Operaciones, implementamos el UFW la herramienta de configuraci贸n por defecto de Ubuntu, y adem谩s la herramienta fail2ban, estas se pueden automatizar con DevSecOps, o 驴que herramientas de seguridad existen automatizadas?

Es interesante pero puedes usar varias plataformas para hacer esto, tanto gitlab, github y bitbucker puedes implemantarlos.

como demostrar que tienes conocimiento de seguridad?
Hagan un buen scaneo de nmap antes de la entrevista de trabajo y expliquen los resultados

Caso del FBI

Interesante !!