~歡迎企業洽談包班需求 ~
「資訊安全」 同步招生中 !!

【課程簡介】

如果你的團隊採取敏捷式開發，在定期快速且彈性地開發並交付可用軟體時，你是否深深感覺到沒時間再考慮到軟體的安全性了。

如果你的團隊採取SDLC瀑布式開發，從需求分析到系統架構設計，系統分析設計到開發測試，正式上線到持續維護等階段，如何保證軟體生命週期內持續的安全性。

為應用程式源始碼通過弱點掃描工具的安全性驗證不難，難的是，只是靜態源始碼的弱點掃描根本不足以保證軟體生命週期內持續的安全性。你知道防火牆、應用程式防火牆(WAF)，並無法為你的應用程式提供100%的保證嗎，更何況不是每個應用程式都有應用程式防火牆的保護。

事實上，軟體安全防護的最佳時機就在開發階段，包括:正式上線後的除錯階段。從需求分析階段的安全需求分析開始，到安全系統架構設計，到資料流程的安全性分析設計，安全程式的開發，以及安全性測試等，建立一套自動化上版，持續整合(CI)、持續交付(CD)安全程式的DevSecOps Pipeline是目前最佳的「軟體持續安全保證」的解決方案。

不論你的團隊目前採用的是敏捷式開發或是SDLC瀑布式開發，都能在本課程中學習到如何善用多種免費或付費安全性驗證工具，結合DevOps平台，如: GitLab，建立DevSecOps Pipeline，在上版時自動完成全方位的各種安全性驗證，甚至是潛在Bug或技術債也能幫你發現，及時改善，持續自動保證程式變動後的安全性。

【課程目標】

1. 身為部門主管或專案經理，或敏捷團隊Product Owner，了解DevSecOps對你有多重要，以便你能知道如何在部門內或專案中推動DevSecOps文化，保證應用程式持續的安全性。
2. 身為系統架構師，必須能了解DevSecOps並能實作，以便你能知道在系統架構設計階段如何保證應用程式系統架構在其生命週期內，能保證持續的安全性。
3. 身為系統分析設計師，必須能了解DevSecOps並能實作，以便你能知道在分析設計階段如何保證應用程式能通過持續整合及交付階段的安全性測試，以及正式上線後還能保證持續的安全性。
4. 身為程式設計師，必須能了解DevSecOps並能實作，以便你能知道在程式設計及上線後維護階段，如何通過每次上版時的持續整合及交付階段的安全性測試。
5. 身為QA或測試工程師，必須能了解DevSecOps並能實作，以便你能知道在品質保證過程及品質控制階段，如何進行持續整合及交付階段的安全性測試。

【課程對象】

1. 部門主管或專案經理，或敏捷團隊Product Owner
2. 系統架構師
3. 系統分析設計師
4. 程式設計師
5. QA或測試工程師

【先備知識】

                   對DevSecOps有興趣即可。

【上課時數】

               14小時(含上機實作)

【課程大綱】

1. DevSecOps方法論 (3小時)

          1.1 DevSecOps定義，如何推動此文化

          1.2 準備階段

          1.3 設計階段

          1.4 建構階段

          1.5 部署階段

          1.6 執行階段

2. 在 CI 裡導入資安 (2小時)

          2.1 資安系統架構設計

          2.2 運行時自我保護（RASP）

          2.3 靜態應用程式安全測試（SAST）

          2.4 資安程式碼審查（Security Code Review）

3. 在 CD 裡導入資安 (2小時)

          3.1 軟體組成分析（SCA）

          3.2 動態應用程式安全測試（DAST）

          3.3 交互式應用程式安全測試（IAST）

4. 實作Gitlab的七大安全工具 (7小時) 

          4.1 Gitlab 安全工具啟用

          4.2 撰寫.yml檔

          4.3 執行pipeline並產出報告

          4.4 解讀報告

【講師簡介】

現職：敏捷教練、DevSecOps顧問、跨國國物聯網、雲端大數據、AI公司數據架構師 ，為數十家客戶保管機密會員及交易資料的全量及每日增量數據。

• 學歷：元智大學資管所
• 專業證照方面：

     1. ISO27001 LA主導稽核員認證

       2. PMI-PMP專案管理國際認證

      3. IT Project+專案管理國際認證 

      4. Scrum Master敏捷式專案管理國際認證 

       5. OPM3組織專案管理成熟度模型專家結訓證書 

       6. PMI-PBA商業分析師國際認證 

       7. Java SCEA系統架構師認證(Part I)

• 系統分析與資訊安全相關課程開課經歷：從2013年至今十年以上的資安教育訓練及企業包班經驗：

1. 系統分析設計師入門班(30小時)

2. 系統分析設計師培訓班(36小時)

3. 安全程式系統分析設計實務班(14小時)

4. 安全程式系統分析設計實務班 (含弱點掃描及解決方案) for Java(18小時)

5. 安全程式系統分析設計實務班 (含弱點掃描及解決方案) for .Net(18小時)

6. 程式安全設計實務(7小時)。

7. 代表台灣派駐邦交國聖文森培訓該國資安團隊，連續兩年，各40小時。

(兩天以上的課程都含實作，一天課程不含實作)

• 系統分析與資訊安全相關經歷：

1. 曾在花旗銀行亞太電子銀行研發中心及軟體開發商和系統整合商擔任正職系統設計師、系統分析師、系統架構師、大數據架構師等相關經驗超過十五年以上，負責過高度資安要求的金融業大型資訊系統分析設計，包括：銀行、證券、基金、期貨、保險、產險等。也曾經擔任立法院資通安全監控中心(SOC)及新店異地備援中心維運外包主管四年半，每年遭遇400~550萬次攻擊從未被攻破。擔任資訊安全長期間，每年都以零缺失通過ISO27001資安驗證，也從未被攻破，或出現重大資安事件，或遭勒索病毒鎖定。熟測試驅動開發模式、DevOps等資安自動化導入。

2. 熟白箱/黑箱滲透測試、Nessus/Checkmarx/Fortify/Lucent Sky/SonarQube弱點掃描、攻防演練、白帽逆向工程分析，及加密技術開發、防勒索病毒、APT駭客攻擊、機密資料或個資不落地等解決方案(桌面虛擬化VDI、DaaS、去識別化)。獲聘為遠傳電信唯一軟體專案IV&V獨立外部專案監審顧問。

3. 熟Firewall、Web應用程式防火牆(WAF) 、IPS、IDS等日誌安全分析，及資安事件管理及應變戰情中心(SIEM+SOAR)、DevSecOps開發安全自動化、IT 服務管理(ITSM, CMDB, SLA, SLM)等資訊安全或資訊服務管理解決方案。