DevSecOps (5 cr)

Objective

At the end of the course student will:

Have a fundamental understanding of DevSecOps including common web application security issues, such as the OWASP Top 10, Linux security, how to use and implement DevSecOps tooling, and what key projects and organisations to reference so that student can understand and prioritise the most important issues found from your DevSecOps CI/CD pipelines.

Content

What DevOps is and how to get started.
What DevSecOps is and how to get started.
Explanations, hands-on demos and walkthroughs of important tools such as SAST, DAST and SCA.
Turn a DevOps pipeline into a DevSecOps pipeline (GitLab YAML pipelines examples with YAML provided).
Explanation of penetration testing and vulnerability assessments and how they align with DevSecOps.
Key security principles explained such as CIA triad, OAuth, defence in depth and least privilege.
Key security organisations such as OWASP, CIS, and CISA.
Key security projects such as OWASP Top 10 2021, OWASP ZAP, OWASP ASVS, CVE’s, CVSS.
Common web application security issues will also be covered.
Linux security fundamentals covering topics such as sudo, SSH, file permissions, updates and more.
Docker explained, hands-on demos including how to build your own containers and recommendations to ensure they are running securely (also includes downloadable source code to build your own Docker container to test yourself!).
Terraform explained, hands-on demos and recommendations to ensure it is implemented securely.

Location and time

Opetus alkaa syyskuussa ja kurssi päättyy joulukuussa 2025. Teams-luennot, demot ja labrat luokassa.

Materials

This course will cover basic elements of DevSecOps. The course is made up of hands-on demos, reading material, quizzes and some presentations. The course also includes source code and links to all of the tools and sites mentioned so students can use on their local environment.

Teaching methods

Opintojakso suoritetaan osallistumalla aktiivisesti ohjattuun Teams- ja lähiopetukseen sekä kirjoittamalla Oppimispäiväkirjaa annettujen aiheiden pohjalta.

Exam schedules

Kurssilla ei ole tenttiä.

Student workload

Kurssin laajuus 5 op, opiskelijan laskennallinen työkuorma 135 h.

Further information

Kurssille osallistuminen edellyttää Linux OS-hallintaa ja mielellään Python-koodausosaamista. Tietoturvan ja kyberturvallisuuden perusteet -kurssin hyväksytty suorittaminen mahdollistaa syvällisemmän oppimisen.

Evaluation scale

0 - 5

Assessment methods and criteria

Kurssi arvioidaan oppimispäiväkirjan perusteella. Oppimispäiväkirjassa tulee käsitellä omaa osaamisenkehittymistä sekä labraharjoitusten suorittamista.

Assessment criteria, fail (0)

Opiskelija ei osaa toteuttaa DevSecOps-prosessin mukaista CI/CD pipelinetesteihin perustuvaa ohjelmistokehitysprojektin haavoittuvuustestausta.

Assessment criteria, excellent (5)

Opiskelija osaa toteuttaa itsenäisesti DevSecOps-prosessin mukaisen CI/CD pipelinetesteihin perustuvan ohjelmistokehitysprojektin, osaa CI/CD pipeline testitapausten kirjoittamisen, osaa käyttää eri testausmenetelmiä ja osaa analysoida testaustulokset. Opiskelija ymmärtää ja priorisoi DevSecOps CI/CD -pipelinetesteistä löytyviä tärkeimpiä ongelmia.
Opiskelija osaa myös dokumentoida, raportoida testaustulokset ja esittää tietoturvahaavoittuvuuksia korjaavia ratkaisuja.

Toteutuksen arviointikriteerit, hyvä (3-4)

Opiskelija osaa toteuttaa DevSecOps-prosessin mukaisen CI/CD pipelinetesteihin perustuvan ohjelmistokehitysprojektin, osaa CI/CD pipeline testitapausten kirjoittamisen. Opiskelija ymmärtää DevSecOps CI/CD -pipelinetesteistä ongelmia.
Opiskelija osaa myös dokumentoida, raportoida testaustulokset ja esittää tietoturvahaavoittuvuuksia korjaavia ratkaisuja.

Assessment criteria, satisfactory (1)

Opiskelija osaa toteuttaa valmiin DevSecOps-prosessin mukaisen CI/CD pipelinetesteihin perustuvan ohjelmistokehitysprojektin.

Prerequisites

Successful completion of the Fundamentals of Information Security and Cyber Security course