課程代號:2325030106  

SSDLC與DevSecOps安全開發與事件應變實作班

1.理解 SSDLC 六大階段,將 SAST、DAST、SCA 自動化測試整合至 CI/CD Pipeline,強化軟體開發安全性。 2.掌握 SBOM、CVE/CVSS 分析與 VDP,識別第三方軟體風險,建立資安應變機制,降低供應鏈攻擊影響。 3.透過 OWASP Threat Dragon、STRIDE 進行威脅建模,解析 SolarWinds、Log4j 案例,學習攻擊模式與 SIRP,強化企業資安防禦。
課程型態/
實體課程
上課地址/
工研院產業學院 產業人才訓練一部(台北)。實際地點依上課通知為準!
時  數/
6 小時
起迄日期/
2025/06/13 ~ 2025/06/13
聯絡資訊/
陳俐潔   02-23701111#310
報名截止日期:2025/06/11
線上報名
課程介紹

從開發到防禦,全方位打造企業級 DevSecOps 安全實踐

  近年來,資安威脅如SolarWinds 供應鏈攻擊、Log4j 漏洞事件、MGM Resorts 遭駭導致數據外洩等案例層出不窮,顯示企業軟體開發與供應鏈的安全性已成為駭客攻擊的重點目標。如今單純的防火牆與端點防護已無法抵禦日益複雜的威脅,企業必須從軟體開發流程、攻防技術、事件應變與供應鏈管理等全方位構建安全機制,以確保資訊資產的完整性與機密性。

  本課程針對資安高階人員、DevSecOps 工程師、企業資安管理者設計,透過Secure Software Development Life Cycle (SSDLC)NIST SSDF 標準、DevSecOps 自動化安全測試等議題,強化學員對企業內部開發流程的安全效能與落實策略。此外課程亦涵蓋OWASP Top 10 攻擊防禦、供應鏈攻擊案例分析、資安事件應變計畫 (SIRP),並提供實戰演練,確保學員能夠將所學直接應用於企業環境中。

  透過本課程,學員將學習如何在 CI/CD Pipeline 內建資安測試,使用Burp Suite 進行 Web 漏洞測試,並掌握CVE / CVSS 漏洞分析與修復技術,從而建立完善的企業資安防護體系,提升企業應對資安攻擊的韌性。

本課程提供【數位同步學習】

課程目標

1.    理解 SSDLC 六大階段,將 SASTDASTSCA 自動化測試整合至 CI/CD Pipeline,強化軟體開發安全性。

2.    掌握 SBOMCVE/CVSS 分析與 VDP,識別第三方軟體風險,建立資安應變機制,降低供應鏈攻擊影響。

3.    透過 OWASP Threat DragonSTRIDE 進行威脅建模,解析 SolarWindsLog4j 案例,學習攻擊模式與 SIRP,強化企業資安防禦。

課程特色

1.   涵蓋 SSDLCDevSecOps、供應鏈安全理論,結合 SolarWindsLog4j 等實際案例,並透過 GitHub/GitLab CI/CD 進行實作。

2.   聚焦供應鏈安全管理、威脅建模、漏洞分析與應變機制。

3.   強調 SBOMVDPCVE/CVSS 分析與修復,提升企業資安應變與供應鏈風險管理能力。

課程對象

1.    關注安全測試與自動化防禦整合至 CI/CD Pipeline,提升開發安全性的DevOps工程師。

2.    負責資安監測、威脅建模、CVE/CVSS 漏洞管理與供應鏈資安的事件應變專家。

3.    需理解企業安全開發架構、合規標準的資安專業人士。

先備知識

1.    具備基本資安概念與程式開發經驗,了解 Web 應用開發流程,熟悉 OWASP Top 10

2.    熟悉 CI/CD 工作流與 Linux 操作,具備 GitHub/GitLab CI/CD Pipeline 使用經驗,能進行基礎系統管理與日誌分析。

講師簡介

王博士

國立臺北教育大學 專任助理教授

曾任:

龍華科技大學 資訊網路工程系暨碩士班 專任助理教授

德明財經科技大學 多媒體設計系 講師兼資訊學院秘書

富利寰旅資訊科技有限公司 創辦人兼執行長

毛焦點科技股份有限公司 創業顧問

台灣人工智慧青少年發展學會 理事

 

授課經歷:

知名連鎖通路集團 資訊安全課程

勞動部 雲端與網路概論課程

 

專長:

資訊安全、虛擬、擴增與混合實境技術、無線射頻辨識系統、影像與圖形識別

課程大綱

課程單元

課程內容

單元一、SSDLCNIST SSDF概述

1.       SSDLCSecure Software Development Life Cycle)概念

(1)     SSDLC的六大階段與企業應用

(2)     如何將SSDLC整合進DevSecOps工作流

(3)     各階段常見安全風險與對應防禦策略

2.       NIST SSDFSecure Software Development Framework)標準

(1)     NIST SSDF 四大核心

(2)     OWASP SAMMSoftware Assurance Maturity Model SSDLC 的應用

3.       案例解析

(1)     SolarWinds Supply Chain Attack 案例分析

(2)     Log4j 漏洞攻擊案例 如何影響企業開發流程

◇  實作演練:

(1)     建立 SSDLC 流程模擬 (使用 GitHubGitLab CI/CD Pipeline

(2)     企業 SSDLC 現狀自評(使用 OWASP SAMM 測試工具)

單元二、安全開發與防禦技術實作

1.       安全程式設計原則

(1)     OWASP Top 10 漏洞與防禦策略

(2)     Secure Coding Practices

2.       DevSecOps 安全測試技術

(1)     SASTStatic Application Security Testing

(2)     DASTDynamic Application Security Testing

(3)     SCASoftware Composition Analysis

3.       企業 DevSecOps 自動化安全流程

(1)     如何在 CI/CD PipelineGitHub Actions / GitLab CI)中導入

◇  實作演練:

(1)     使用 Burp Suite 進行 Web 應用測試,發現 SQL InjectionXSS 漏洞

(2)     GitLab CI/CD 內建 SAST / DAST 掃描

(3)     企業開源依賴分析(Snyk / OWASP Dependency-Check

單元三、企業應變與供應鏈安全

1.       企業供應鏈安全挑戰

(1)     供應鏈攻擊案例解析(如 SolarWindsCodecov

(2)     軟體簽章與 SBOMSoftware Bill of Materials)機制

(3)     如何強化企業內部 第三方軟體審查與驗證

2.       威脅建模與企業風險評估

(1)     OWASP Threat Dragon 進行威脅建模

(2)     STRIDE Threat Modeling 方法解析

(3)     如何評估企業開發流程中的高風險區域

3.       企業事件應變與漏洞管理

(1)     CVE / CVSS 漏洞分析與修復

(2)     企業資安事件回應計畫(SIRP

(3)     如何建立 Vulnerability Disclosure ProgramVDP

◇  實作演練:

(1)     使用 OWASP Threat Dragon 進行企業Web應用威脅建模

(2)     建立企業供應鏈安全策略

(3)     進行 CVE / CVSS 漏洞分析與修補測試

結訓與認證

總出席率達80%,將由工業技術研究院產業學院核發培訓證書。

價格

方案

早鳥優惠價

需課前三週報名且繳費

團體優惠價

3()以上

工研人優惠價

一般報名(原價)

價格

4,900/

4,600/

4,900/

5,400/

課程辦理資訊

v上課時間:114613日(星期五),09:00~16:00,共6小時。

v實體課程:工研院產業學院 產業人才訓練一部(台北)實際地點依上課通知為準!

v線上課程:線上webex會議室

v報名方式:線上報名。

v課程聯絡人:(02)2370-1111分機 607Simon.lai@itri.org.tw 賴先生

貼心提醒

1.     課程若未如期開班,費用將全額退還。

2.     請學員上課當天請攜帶筆記型電腦(Windows作業系統),以利課程進行。

3.     為確保您的上課權益,報名後若未收到任何回覆,敬請來電洽詢方完成報名。

4.     為配合講師時間或臨時突發事件,主辦單位有調整日期或更換講師之權利。

5.     為尊重講師之智慧財產權,恕禁止錄影/音。

6      報名時請註明欲開立發票完整抬頭,以利開立收據;未註明者,一律開立個人抬頭,恕不接受更換發票之要求。

附件