AZ-400: セキュリティを実装し、コンプライアンスのコード ベースを検証する
概略
-
レベル
-
スキル
この包括的なラーニング パスでは、DevSecOps プラクティスを使用して、ソフトウェア開発ライフサイクル全体にセキュリティを実装する方法について説明します。 シークレット管理と認証制御を使用して CI/CD パイプラインをセキュリティで保護する方法、ライセンス コンプライアンスと脆弱性スキャンを使用したオープンソース ソフトウェア セキュリティの実装、依存関係管理と自動修復によるソフトウェア構成分析の実行、Microsoft Defender for Cloud、Azure Policy、リソース ロック、Microsoft Defender for Identity、GitHub Advanced Security の統合による包括的なセキュリティ監視とガバナンスの確立について説明します。 開発環境と運用環境全体で準拠しているアプリケーション インフラストラクチャを構築、セキュリティで保護、および維持するために必要なツールと手法を習得します。
前提条件
- Azure DevOps パイプラインと GitHub Actions ワークフローについて説明します。
- ソフトウェア開発ライフサイクルとバージョン管理システムに関する知識。
- クラウド コンピューティングの概念と Azure サービスに関する基本的な知識。
- アプリケーション セキュリティの基礎を理解する。
Azure を使ってみる
適切な Azure アカウントを選択します。 Azure は、従量課金制でご利用いただくことも、最大 30 日間無料でお試しいただくこともできます。 [サインアップ] 。
実績コード
実績コードを要求しますか?
このラーニング パス内のモジュール
DevSecOps の原則を理解し、SQL インジェクション攻撃などの一般的な脆弱性を特定し、パイプラインに継続的なセキュリティ検証を実装し、効果的な脅威モデリングを実施し、GitHub CodeQL などの自動セキュリティ分析ツールを使用して、DevOps ライフサイクル全体にセキュリティを統合する方法について説明します。 開発とデプロイのすべての段階にセキュリティ プラクティスを埋め込むことで、セキュリティで保護されたアプリケーションを構築します。
このモジュールでは、オープンソース コンポーネント、セキュリティとライセンスに関する企業の懸念、一般的なオープンソース ライセンス (MIT、Apache、GPL)、商用使用に対するライセンスへの影響、エンタープライズ環境でのオープンソース ソフトウェアの管理戦略を使用して最新のソフトウェアを構築する方法について説明します。
このモジュールでは、ソフトウェア構成分析 (SCA) の基礎、コンプライアンスのためのコード ベースの検査と検証、自動脆弱性検出のための GitHub Dependabot の実装、Mend (WhiteSource)、Snyk、OWASP Dependency-Check などの SCA ツールの Azure Pipelines への統合、コンテナー イメージ スキャンの自動化、スキャン ツールからのセキュリティ アラートの解釈について説明します。
このモジュールでは、Azure DevOps 環境の包括的なセキュリティ監視とガバナンスについて説明します。 パイプライン セキュリティの実装、脅威の保護とコンプライアンスのための Microsoft Defender for Cloud の構成、ガバナンスの適用のための Azure Policy の管理、ロックによるリソースのセキュリティ保護、Microsoft Defender for Identity の脅威検出の使用、開発ライフサイクル全体の統合されたセキュリティ可視性のために GitHub Advanced Security と Microsoft Defender を統合する方法について説明します。