GitHub
Sicherheit
DevOps

GitHub Advanced Security

Sichern Sie Ihre Software-Supply-Chain mit GitHub Advanced Security (GHAS). Meistern Sie Secret Scanning, Code Scanning mit CodeQL...

Trainingsübersicht

Dieses umfassende 1-Tages-Training vermittelt fundiertes Wissen und praktische Erfahrung mit GitHub Advanced Security (GHAS), der Enterprise-Grade-Sicherheitslösung, die Organisationen dabei unterstützt, Schwachstellen im gesamten Software-Entwicklungslebenszyklus zu identifizieren und zu beheben. Der Kurs richtet sich an Sicherheitsexperten, Entwickler und DevOps-Teams und deckt alles ab - von grundlegenden Sicherheitsfeatures bis hin zu fortgeschrittener Konfiguration und Remediation-Strategien.

Zielgruppe

  • Security Engineers und Analysten
  • DevSecOps Engineers
  • Softwareentwickler mit Sicherheitsverantwortung
  • Application Security Specialists
  • Systemadministratoren, die GitHub Enterprise verwalten
  • Compliance Officers
  • Technical Leads und Architekten

Voraussetzungen

  • Gutes Verständnis von Git und GitHub
  • Grundkenntnisse in Software-Entwicklungspraktiken
  • Vertrautheit mit Sicherheitskonzepten (CVE, CWE)
  • Erfahrung mit mindestens einer Programmiersprache
  • Grundlegendes Verständnis von CI/CD-Pipelines (von Vorteil)

Trainingsziele

Am Ende dieses Trainings werden Sie in der Lage sein:

  • GHAS-Sicherheitsfeatures und ihre Rolle im Sicherheitsökosystem zu beschreiben
  • Secret Scanning mit Push Protection zu konfigurieren und zu nutzen
  • Dependabot und Dependency Review zu aktivieren und zu verwalten
  • Code Scanning mit CodeQL zu konfigurieren und zu nutzen
  • GHAS-Best-Practices anzuwenden und Korrekturmaßnahmen zu ergreifen
  • Sicherheit in jeden Schritt des SDLC zu integrieren
  • Sich auf die GH-500 GitHub Advanced Security-Zertifizierung vorzubereiten

Trainingsinhalte

1. GHAS-Sicherheitsfeatures und -Funktionalität beschreiben (15%)

GHAS-Features und ihre Rolle vergleichen

  • Verständnis der Sicherheitsfeatures für Open-Source-Projekte
  • Features, die mit GHAS auf GitHub Enterprise Cloud (GHEC) verfügbar sind
  • Features, die mit GHAS auf GitHub Enterprise Server (GHES) verfügbar sind
  • Security Overview Dashboard und dessen Vorteile
  • Unterschiede zwischen Secret Scanning und Code Scanning
  • Wie GHAS einen sicheren Software-Entwicklungslebenszyklus schafft

Sicherheitsintegrationsszenarien

  • Isolierter Security-Review-Ansatz (traditionell)
  • Fortgeschrittenes Szenario: Sicherheit in jeden SDLC-Schritt integriert
  • Vorteile von Shift-Left Security
  • Entwickler-zentrierte Sicherheitspraktiken

Spezifische GHAS-Features erklären und nutzen

  • Wie anfällige Dependencies identifiziert werden
  • Manifest-Datei-Analyse und Schwachstellendatenbanken
  • Auswahl angemessener Reaktionen auf GHAS-Alerts
  • Auswirkungen des Ignorierens von Sicherheitswarnungen
  • Rolle des Entwicklers bei Sicherheitswarnungen
  • Zugriffsverwaltung für das Anzeigen von Alerts über Features hinweg
  • Verwendung von Dependabot-Alerts im SDLC
2. Secret Scanning konfigurieren und nutzen (15%)

Secret Scanning konfigurieren und nutzen

  • Verständnis der Secret-Scanning-Grundlagen
  • Push Protection zur Verhinderung von Secret-Commits
  • Validity Checks für geleakte Credentials
  • Secret-Scanning-Verfügbarkeit (öffentliche vs. private Repositories)
  • Aktivierung von Secret Scanning für private Repositories
  • Angemessene Reaktion auf Secret-Scanning-Alerts
  • Verständnis, welche Secrets Alerts auslösen
  • Benutzerrollenberechtigungen und Benachrichtigungseinstellungen

Standard-Secret-Scanning-Verhalten anpassen

  • Konfiguration von Alert-Empfängern
  • Zugriffsvergabe an Mitglieder und Teams über Admins hinaus
  • Ausschluss spezifischer Dateien vom Secret Scanning
  • Aktivierung benutzerdefinierter Secret-Scanning-Patterns
  • Erstellung benutzerdefinierter Patterns für organisationsspezifische Secrets
  • Effektive Verwaltung von False Positives

Fortgeschrittenes Secret Scanning

  • Validity Checks und deren Bedeutung
  • Integration von Secret Scanning in Incident Response
  • Secret-Rotation-Workflows
  • Automatisierung der Secret-Remediation
3. Dependabot und Dependency Review konfigurieren und nutzen (35%)

Tools zur Verwaltung von Schwachstellen in Dependencies beschreiben

  • Verständnis des Dependency Graph
  • Wie der Dependency Graph generiert wird
  • Software Bill of Materials (SBOM) und GitHubs Format
  • Definition von Dependency-Schwachstellen
  • Dependabot-Alerts-Übersicht
  • Dependabot Security Updates erklärt
  • Dependency Review-Funktionalität
  • Alert-Generierungsprozess (Dependency Graph + GitHub Advisory Database)
  • Unterschiede zwischen Dependabot und Dependency Review

Tools zur Verwaltung anfälliger Dependencies aktivieren und konfigurieren

  • Standardeinstellungen für Dependabot-Alerts (öffentlich vs. privat)
  • Berechtigungen und Rollen zur Aktivierung von Dependabot-Alerts
  • Berechtigungen und Rollen zum Anzeigen von Dependabot-Alerts
  • Aktivierung von Dependabot-Alerts für private Repositories
  • Aktivierung von Dependabot-Alerts auf Organisationsebene
  • Erstellung gültiger Dependabot-Konfigurationsdateien
  • Effektive Gruppierung von Security-Updates
  • Erstellung von Dependabot-Rules zur Auto-Dismissal von Low-Severity-Alerts
  • Erstellung von Dependency Review GitHub Actions Workflows
  • Konfiguration von Lizenzprüfungen in Dependency Review
  • Festlegung benutzerdefinierter Severity-Schwellenwerte
  • Konfiguration von Benachrichtigungen für anfällige Dependencies

Anfällige Dependencies identifizieren und beheben

  • Identifikation anfälliger Dependencies aus Dependabot-Alerts
  • Identifikation anfälliger Dependencies aus Pull Requests
  • Aktivierung von Dependabot Security Updates
  • Behebung von Schwachstellen aus dem Security-Tab
  • Behebung von Schwachstellen im Pull-Request-Kontext
  • Aktualisierung oder Entfernung anfälliger Dependencies
  • Testen und Mergen von Dependabot Pull Requests
  • Automatisierte Dependency-Updates
4. Code Scanning mit CodeQL konfigurieren und nutzen (25%)

Code Scanning mit Drittanbieter-Tools nutzen

  • Aktivierung von Code Scanning für Drittanbieter-Analysen
  • CodeQL vs. Drittanbieter-Analyse-Tools
  • Implementierung von CodeQL in GitHub Actions Workflows
  • Implementierung von CodeQL in Drittanbieter-CI-Tools
  • Upload von SARIF-Ergebnissen über den SARIF-Endpoint
  • Verständnis des SARIF-Formats und der Kategorien

Code Scanning beschreiben und aktivieren

  • Code Scanning im Software-Entwicklungslebenszyklus
  • Häufigkeit von Code Scanning (geplant vs. Event-getriggert)
  • Auswahl von Triggering-Events für Entwicklungsmuster
  • Scanning bei Pull Requests
  • Scanning spezifischer Dateien und Pfade
  • Bearbeitung von Standard-Actions-Workflow-Templates
  • Anpassung von Workflows für Production-Repositories

Code-Scanning-Ergebnisse anzeigen und interpretieren

  • Anzeige von CodeQL-Analyseergebnissen
  • Verständnis von Code-Scanning-Alerts
  • Verfolgung des Datenflusses mit "Show Paths"-Experience
  • Lesen der Alert-Dokumentation
  • Bestimmung, ob Alerts abgewiesen werden müssen
  • Verständnis von CodeQLs Kompilierungsmodell
  • Sprachunterstützung und Limitierungen

Code Scanning troubleshooten und konfigurieren

  • Troubleshooting fehlgeschlagener CodeQL-Workflows
  • Erstellung benutzerdefinierter CodeQL-Konfigurationen
  • Modifikation von CodeQL-Workflow-Dateien
  • Verständnis von CodeQL-Query-Suites (default, extended, security)
  • Definition von SARIF-Kategorien
  • Optimierung der CodeQL-Performance

Fortgeschrittene CodeQL-Nutzung

  • Schreiben benutzerdefinierter CodeQL-Queries
  • Verständnis der Analyse kompilierter vs. interpretierter Sprachen
  • Verwendung der CodeQL CLI für fortgeschrittene Szenarien
  • Integration von CodeQL in IDEs
5. GHAS Best Practices, Ergebnisse und Korrekturmaßnahmen (10%)

GitHub Advanced Security-Ergebnisse und Best Practices

  • Verwendung von CVE und CWE zur Beschreibung von Alerts
  • Auflistung potenzieller Remediationen für Schwachstellen
  • Entscheidungsprozess für das Schließen von Alerts
  • Dokumentation von Alert-Dismissals
  • Datenbasierte Sicherheitsentscheidungen

CodeQL-Analyse verstehen

  • Standard-CodeQL-Query-Suites
  • Wie CodeQL Code analysiert und Ergebnisse produziert
  • Unterschiede zwischen kompilierter und interpretierter Sprachanalyse
  • Query-Customization und Tuning

Rollen und Verantwortlichkeiten

  • Verantwortlichkeiten des Entwicklungsteams
  • Verantwortlichkeiten des Security-Teams
  • Zusammenarbeit in Software-Entwicklungs-Workflows
  • Security-Champions-Programme

Alert-Schwellenwerte und Filter konfigurieren

  • Änderung von Severity-Schwellenwerten für Pull-Request-Checks
  • Verwendung von Filtern zur Priorisierung der Secret-Scanning-Remediation
  • Validity-Filterung (validity:active)
  • Effektives Sortieren und Priorisieren von Alerts

Sicherheit mit Repository Rulesets durchsetzen

  • Durchsetzung von CodeQL-Workflows mit Repository Rulesets
  • Durchsetzung von Dependency Review-Workflows
  • Branch-Protection-Rules für Sicherheit
  • Erforderliche Status-Checks

Frühe Schwachstellenidentifikation

  • Konfiguration von Code Scanning für Pull Requests
  • Aktivierung von Push Protection für Secret Scanning
  • Aktivierung von Dependency Review für Pull Requests
  • Shift-Left-Security-Praktiken
  • Verhinderung von Schwachstellen vor dem Merge

Praktische Übungen

Im Verlauf dieses Trainings nehmen Sie an praktischen Übungen teil, darunter:

  • Aktivierung von GHAS-Features für Repositories und Organisationen
  • Konfiguration von Secret Scanning und Erstellung benutzerdefinierter Patterns
  • Einrichtung von Dependabot-Alerts und Security-Updates
  • Erstellung von Dependabot-Konfigurationsdateien
  • Implementierung von Dependency Review Workflows
  • Aktivierung von Code Scanning mit CodeQL
  • Anpassung von CodeQL-Workflows
  • Upload von Drittanbieter-SARIF-Ergebnissen
  • Triage und Remediation von Security-Alerts
  • Erstellung benutzerdefinierter CodeQL-Queries
  • Konfiguration von Repository Rulesets für Sicherheit
  • Implementierung von Shift-Left-Security-Praktiken

Trainingsmethodik

  • Interaktive Präsentationen: Umfassende Abdeckung von GHAS-Features und Sicherheitskonzepten
  • Live-Demonstrationen: Praxisnahe Sicherheitsszenarien und Remediation
  • Praktische Übungen: Hands-on-Übungen mit tatsächlichen Schwachstellen
  • Security-Workshops: Analyse und Behebung von Sicherheitsproblemen
  • Best Practices: Branchenstandard-Sicherheits-Patterns
  • Fallstudien: Reale Sicherheitsvorfälle und Reaktionen
  • Frage-und-Antwort-Sitzungen: Behandlung spezifischer organisatorischer Sicherheitsanforderungen

Zertifizierungsvorbereitung

Dieses Training ist auf die GH-500: GitHub Advanced Security Zertifizierungsprüfung ausgerichtet und deckt alle getesteten Bereiche ab:

  1. GHAS-Sicherheitsfeatures und -Funktionalität beschreiben (15%)
  2. Secret Scanning konfigurieren und nutzen (15%)
  3. Dependabot und Dependency Review konfigurieren und nutzen (35%)
  4. Code Scanning mit CodeQL konfigurieren und nutzen (25%)
  5. GHAS Best Practices, Ergebnisse und Korrekturmaßnahmen (10%)

Was Sie erhalten

  • Umfassende Trainingsmaterialien
  • GHAS-Konfigurationsvorlagen
  • CodeQL-Query-Beispiele
  • Security-Remediation-Playbooks
  • Best-Practices-Leitfaden
  • Teilnahmezertifikat
  • Post-Training-Support-Ressourcen
  • Zugang zu exklusiven Sicherheitstipps und -ressourcen

Praxisnahe Sicherheitsszenarien

  • Geleakte Secrets: API-Keys, Passwörter, Tokens im Code
  • Anfällige Dependencies: npm-, NuGet-, Maven-, PyPI-Schwachstellen
  • Code-Schwachstellen: SQL Injection, XSS, Path Traversal
  • Supply Chain Security: SBOM-Generierung, Dependency-Tracking
  • Compliance: SOC 2, ISO 27001, PCI DSS-Anforderungen
  • Incident Response: Schnelle Remediation-Workflows
  • Security-Automatisierung: Automatisierte Sicherheitsupdates und Fixes

Sicherheitsfeatures im Detail

Secret Scanning
  • Mustererkennung für 200+ Token-Typen
  • Push Protection zur Commit-Verhinderung
  • Validity Checks mit Service-Providern
  • Erstellung benutzerdefinierter Patterns
  • Partner-Programm-Integration
Dependabot
  • Automatische Dependency-Updates
  • Sicherheitsschwachstellen-Alerts
  • Versions-Updates
  • Gruppierte Updates
  • Auto-Merge-Funktionalität
  • Benutzerdefinierte Konfiguration
Code Scanning (CodeQL)
  • Static Application Security Testing (SAST)
  • 400+ Sicherheits-Queries
  • Mehrsprachige Unterstützung
  • Benutzerdefinierte Query-Erstellung
  • Drittanbieter-Tool-Integration
  • SARIF-Format-Unterstützung
Dependency Review
  • Pull-Request-basiertes Scanning
  • Lizenz-Compliance-Checks
  • Benutzerdefinierte Severity-Schwellenwerte
  • Blockierung anfälliger Dependencies
  • Durchsetzung von Sicherheitsrichtlinien

Unterstützte Sprachen und Ökosysteme

Code-Scanning-Sprachen
  • C/C++
  • C#
  • Go
  • Java/Kotlin
  • JavaScript/TypeScript
  • Python
  • Ruby
  • Swift
Dependency-Ökosysteme
  • npm (JavaScript/TypeScript)
  • NuGet (.NET)
  • Maven/Gradle (Java)
  • PyPI/pip (Python)
  • RubyGems (Ruby)
  • Composer (PHP)
  • Go modules
  • Cargo (Rust)

Nachbereitung und nächste Schritte

Nach Abschluss dieses Trainings sind Sie bestens vorbereitet, um:

  • GHAS in Ihrer gesamten Organisation zu implementieren
  • Security Scanning für alle Repositories zu konfigurieren
  • Sicherheitsrichtlinien und -verfahren zu etablieren
  • Entwicklungsteams in sicheren Coding-Praktiken zu schulen
  • Sich auf die GH-500-Zertifizierungsprüfung vorzubereiten
  • Ein umfassendes DevSecOps-Programm aufzubauen
  • Die Sicherheitslage zu messen und zu verbessern

Sicherheitserfolg messen

Lernen Sie, wie man den Impact von GHAS misst:

  • Mean Time to Remediate (MTTR) für Schwachstellen
  • Anzahl verhinderter Schwachstellen
  • Sicherheitsalarm-Trends
  • Entwickler-Sicherheitsbewusstsein
  • Compliance-Audit-Ergebnisse
  • Reduzierung des Supply-Chain-Risikos

Integration mit Sicherheitstools

Lernen Sie, GHAS zu integrieren mit:

  • SIEM-Systemen (Splunk, Azure Sentinel)
  • Schwachstellenmanagement-Plattformen
  • Incident-Response-Tools
  • Compliance-Management-Systemen
  • Security Orchestration (SOAR)

Verwandte Trainings

Erwägen Sie diese ergänzenden Trainings:

  • GitHub Administration - Verwaltung von GitHub Enterprise
  • GitHub Actions - Automatisierung von Sicherheits-Workflows
  • Secure Software Development Lifecycle - Umfassende Sicherheitspraktiken
  • DevSecOps Fundamentals - Integration von Sicherheit in DevOps

GHAS-Lizenzierung und -Pläne

Lernen Sie die GHAS-Verfügbarkeit kennen:

  • Open Source: Kostenlose Sicherheitsfeatures für öffentliche Repositories
  • GitHub Advanced Security: Enterprise-Lizenzierung für private Repositories
  • GitHub Enterprise Cloud: Cloud-basiertes GHAS
  • GitHub Enterprise Server: Self-hosted GHAS

Compliance und Standards

Verstehen Sie, wie GHAS hilft bei:

  • OWASP Top 10
  • CWE/SANS Top 25
  • NIST-Richtlinien
  • SOC 2-Compliance
  • ISO 27001
  • PCI DSS
  • GDPR-Datenschutz
An unhandled error has occurred. Reload 🗙