Opinto-opas

Tavoitteet

Kurssin päätteeksi opiskelijalla on perustavanlaatuinen käsitys DevSecOpsista, mukaan lukien yleiset verkkosovellusten tietoturvaongelmat, kuten OWASP Top 10, Linux-tietoturva, DevSecOps-työkalujen käyttö ja käyttöönotto sekä tärkeimmät projektit ja organisaatiot, jotta opiskelija voi ymmärtää ja priorisoida tärkeimmät haavoittuvuudet, jotka löytyvät DevSecOps CI/CD prosessin mukaisesta ohjelmistokehityksessä.

Sisältö

Mitä DevOps on ja miten aloitetaan DecOps ohjelmistokehitys.
Mitä DevSecOps on ja miten aloitetaan DecSecOps ohjelmistokehitys.
Käytännön esittelyt ja tärkeiden työkalujen esittelyt, kuten SAST, DAST ja SCA.
Miten muutetaan DevOps-putki DevSecOps-putkeksi (GitLab YAML-putkistojen esimerkkejä YAML:n mukana).
Tunkeutumistestaus ja haavoittuvuustestaus sekä niiden yhteensovittaminen DevSecOpsiin.
Tärkeimmät turvallisuusperiaatteet, kuten CIA-kolmio, OAuth.
Tärkeimmät tietoturvaorganisaatiot, kuten OWASP, CIS ja CISA.
Tärkeimmät tietoturvaprojektit, kuten OWASP Top 10 2021, OWASP ZAP, OWASP ASVS, CVE's, CVSS.
Verkkosovellusten tietoturvaongelmat käsitellään demojen avulla.
Linuxin tietoturvan perusteet, jotka kattavat esimerkiksi sudo, SSH, tiedostojen käyttöoikeudet ja ohjelmistopäivitykset.
Docker ja sen käytännön esittelyt, mukaan lukien omien Docker konttien rakentaminen ja suosituksia niiden turvallisen toiminnan varmistamiseksi (sisältää myös ladattavan lähdekoodin oman Docker-kontin rakentamiseen testaamista varten!).
Terraform ja käytännön demo ja tietoturvallinen käyttö.

Oppimateriaalit

Tämä kurssi kattaa DevSecOpsin peruselementit. Kurssi koostuu käytännön demoista, lukumateriaalista, osaamista mittaavista kysymyksistä ja luennoista. Kurssi sisältää myös lähdekoodit ja linkit kaikkiin mainittuihin työkaluihin ja sivustoihin, jotta opiskelijat voivat käyttää niitä omassa ympäristössään.

Arviointiasteikko

0 - 5

Arviointikriteerit, kiitettävä (5)

Opiskelija osaa toteuttaa itsenäisesti DevSecOps-prosessin mukaisen CI/CD pipelinetesteihin perustuvan ohjelmistokehitysprojektin, osaa CI/CD pipeline testitapausten kirjoittamisen, osaa käyttää eri testausmenetelmiä ja osaa analysoida testaustulokset. Opiskelija ymmärtää ja priorisoi DevSecOps CI/CD -pipelinetesteistä löytyviä tärkeimpiä ongelmia.
Opiskelija osaa myös dokumentoida, raportoida testaustulokset ja esittää tietoturvahaavoittuvuuksia korjaavia ratkaisuja.

Arviointikriteerit, hyvä (3)

Opiskelija osaa toteuttaa DevSecOps-prosessin mukaisen CI/CD pipelinetesteihin perustuvan ohjelmistokehitysprojektin, osaa CI/CD pipeline testitapausten kirjoittamisen. Opiskelija ymmärtää DevSecOps CI/CD -pipelinetesteistä ongelmia.
Opiskelija osaa myös dokumentoida, raportoida testaustulokset ja esittää tietoturvahaavoittuvuuksia korjaavia ratkaisuja.

Arviointikriteerit, tyydyttävä (1)

Opiskelija osaa toteuttaa valmiin DevSecOps-prosessin mukaisen CI/CD pipelinetesteihin perustuvan ohjelmistokehitysprojektin,

Arviointikriteeri, hyväksytty/hylätty

Opiskelija ei osaa toteuttaa DevSecOps-prosessin mukaista CI/CD pipelinetesteihin perustuvaa ohjelmistokehitysprojektin haavoittuvuustestausta,

Esitietovaatimukset

Tietoturvan ja kyberturvallisuuden perusteet -kurssin hyväksytty suorittaminen