Mais organizações estão aplicando uma metodologia DevOps para otimizar o desenvolvimento de software. Uma das principais ferramentas utilizadas nesse processo é uma ferramenta de integração contínua (CI) que automatiza alterações de código de vários desenvolvedores trabalhando no mesmo projeto. Em 2019, o GitHub lançou sua própria ferramenta de CI chamada GitHub Actions. De acordo com o GitHub, o GitHub Actions ajuda a automatizar tarefas dentro do ciclo de vida de desenvolvimento de software e vem ganhando muita adoção por parte dos desenvolvedores.
Este curso demonstrará como o GitHub Actions funciona e mostrará as ferramentas de segurança para proteger seus aplicativos de invasores. Primeiro, vamos nos aprofundar nas Actions, na linguagem e os servidores fornecidos pelo GitHub para executar seus workflows. Em seguida, mostraremos como executar técnicas de SAST (Análise Estática), DAST (Análise Dinâmica) e SCA (Análise de Composição de Software) usando software livre ou ferramentas gratuitas em seu pipeline utilizando o GitHub Actions. Vamos configurar Actions para cada ferramenta para escanear nosso aplicativo em busca de vulnerabilidades de segurança em cada pull request. Aproveitaremos o SonarCloud para SAST, OWASP ZAP para DAST e Snyk para SCA.