From 6743a5bf243c78ad4cc1a66157e2df0ab4ba2929 Mon Sep 17 00:00:00 2001 From: "Taisen.fr (Dev)" Date: Sat, 12 Oct 2024 10:39:40 +0200 Subject: [PATCH] MESP++ --- .../51-MESP-Audit-Github.md | 9 ++-- ...est.md => 52-MESP-DevSecOps-Post-Audit.md} | 7 +-- Dojo-101-Apprentissage/53-MESP-Github-CICD.md | 52 ------------------- 3 files changed, 10 insertions(+), 58 deletions(-) rename Dojo-101-Apprentissage/{52-MESP-DevSecOps-Post-Pentest.md => 52-MESP-DevSecOps-Post-Audit.md} (83%) delete mode 100644 Dojo-101-Apprentissage/53-MESP-Github-CICD.md diff --git a/Dojo-101-Apprentissage/51-MESP-Audit-Github.md b/Dojo-101-Apprentissage/51-MESP-Audit-Github.md index 6673600..0ba5ca6 100644 --- a/Dojo-101-Apprentissage/51-MESP-Audit-Github.md +++ b/Dojo-101-Apprentissage/51-MESP-Audit-Github.md @@ -2,7 +2,7 @@ Vous êtes chargé de procéder à un audit sur le Dépot Github du BackEnd de l'application .NET. -Durée: 3 jours +Durée: 2 jours Ce contenu est publié sous licence "GNU GENERAL PUBLIC LICENSE Version 3" et les sources sont sur le projet Github Dojo-101, merci d'en tenir compte dans vos usages. @@ -13,7 +13,10 @@ Ce contenu est publié sous licence "GNU GENERAL PUBLIC LICENSE Version 3" et le * [Github security on MS learn](https://learn.microsoft.com/en-us/collections/rqymc6yw8q5rey) * [Blog Github Security](https://github.blog/category/security/) * [Snyk](https://docs.snyk.io/) - +* [Octoscan](https://github.com/synacktiv/octoscan) +* [Github security on MS learn](https://learn.microsoft.com/en-us/collections/rqymc6yw8q5rey) +* [CodeQL](https://codeql.github.com/) +* [Dependabot](https://github.com/dependabot) ## Contexte @@ -31,7 +34,7 @@ En tant que consultant DevOps. Vous devez examiner le dépôt GitHub en question 6. **Conformité aux normes de codage** : Vérifiez si le code suit les meilleures pratiques et les normes de codage. -Vous pouvez forker le projet afin d'y tester différents outils et fonctionalités. +Vous forkerez le projet afin d'y implémenter et tester les différents outils et fonctionalités. Après ces deux jours d'audit, vous disposerez d'un troisième jour pour rédiger un rapport détaillé sur vos observations et recommandations. diff --git a/Dojo-101-Apprentissage/52-MESP-DevSecOps-Post-Pentest.md b/Dojo-101-Apprentissage/52-MESP-DevSecOps-Post-Audit.md similarity index 83% rename from Dojo-101-Apprentissage/52-MESP-DevSecOps-Post-Pentest.md rename to Dojo-101-Apprentissage/52-MESP-DevSecOps-Post-Audit.md index 95d77dd..bd7d3c8 100644 --- a/Dojo-101-Apprentissage/52-MESP-DevSecOps-Post-Pentest.md +++ b/Dojo-101-Apprentissage/52-MESP-DevSecOps-Post-Audit.md @@ -1,8 +1,8 @@ -# Pentest Boite Blanche +# DevSecOps Post Audit/pentest Vous êtes chargé d'aider les équipes Dev à remédier aux vulnérabilités sur le BackEnd de l'application .NET qui tourne sur notre serveur ultra sensible -Durée: 5 jours +Durée: 6 jours Ce contenu est publié sous licence "GNU GENERAL PUBLIC LICENSE Version 3" et les sources sont sur le projet Github Dojo-101, merci d'en tenir compte dans vos usages. @@ -16,6 +16,7 @@ Ce contenu est publié sous licence "GNU GENERAL PUBLIC LICENSE Version 3" et le * [Chaine DevOps](https://learn.microsoft.com/fr-fr/azure/cloud-adoption-framework/ready/considerations/devops-toolchain#azure-devops-and-github-toolchain) +* [Blog Github Security](https://github.blog/category/security/) ## Contexte @@ -24,7 +25,7 @@ Afin de tester les vulnérabilités découvertes lors de l'audit, lors des proch 1. La mise en place d'un **Kanban** avec des **User Stories** dans un **backlog** leur permettant d'éstimer le travail à réaliser pour patcher l'application. -2. la création de templates nuclei ou d'un **script** bash/powershell ou des **tests unitaires** spécifiques en C# permettant de tester les vulnérabilités découvertes lors du test d'intrusion. +2. la création de templates **nuclei** ou d'un **script** bash/powershell ou des **tests unitaires** spécifiques en C# permettant de tester les vulnérabilités découvertes lors du test d'intrusion. 3. la mise en place des ces tests à chaque *git push* grâce à leur **intégration aux canaux CI/CD**. diff --git a/Dojo-101-Apprentissage/53-MESP-Github-CICD.md b/Dojo-101-Apprentissage/53-MESP-Github-CICD.md deleted file mode 100644 index 4b9fc59..0000000 --- a/Dojo-101-Apprentissage/53-MESP-Github-CICD.md +++ /dev/null @@ -1,52 +0,0 @@ -# Automatisation SAST et Workflows GitHub - -Mise en place de tests SAST sur un dépôt Github - -Durée: 4 jours - -Ce contenu est publié sous licence "GNU GENERAL PUBLIC LICENSE Version 3" et les sources sont sur le projet Github Dojo-101, merci d'en tenir compte dans vos usages. - -## Ressources - -* [Gestes professionnels](https://github.com/Aif4thah/Dojo-101) -* [Vulnerable-Web-App](https://github.com/Aif4thah/VulnerableLightApp) -* [Chaine DevOps](https://learn.microsoft.com/fr-fr/azure/cloud-adoption-framework/ready/considerations/devops-toolchain#azure-devops-and-github-toolchain) -* [CodeQL](https://codeql.github.com/) -* [Nuclei](https://blog.projectdiscovery.io/implementing-nuclei-into-your-github-ci-cd-for-scanning-live-web-applications/) -* [Github security on MS learn](https://learn.microsoft.com/en-us/collections/rqymc6yw8q5rey) -* [Pentest-Ground](https://pentest-ground.com) -* [Blog Github Security](https://github.blog/category/security/) -* [Octoscan](https://github.com/synacktiv/octoscan) - -## Contexte - -En tant qu'ingénieur DevSecOps vous devez démontrer la faisabilité des tests SAST / DAST / IAST à vos équipes. Pour cela vous allez mettre en place l'audit de code automatisé pour l'application cible "VulnérableLightApp" - -## Modalités pédagogiques - -* Forker le projet Github -* Mettre en place le scan des dépendances à l'aide d'un des outils suivants: dependancy check, Snyk.io, depandabot -* Mettre en place les tests SAST à l'aide de CodeQL -* Mettre en place les tests DAST à l'aide de Nuclei -* Afin d'automatiser les scans, créer les worflows appropriés -* Ajuster les tests pour qu'ils soient les plus pertinents possibles - -Conseil: Lorsque possible, appuyez-vous sur les interfaces Web / Graphique et les ressources Github clé en main. - -## Modalités d'évaluation - -Analyse du fork Github - -## Livrables - -URL du projet (fork) Github avec une description du travail effectué dans le README.md -Fichiers Yaml des actions / Workflow CI/CD - -## Critères de performance - -Bonne réalisation des modalités pédagogiques - - -## Pour finir - -Si vous avez apprécié ce cours et souhaitez valoriser votre travail, n'hésitez pas à ajouter une ⭐ au [projet](https://github.com/Aif4thah/Dojo-101) \ No newline at end of file