Como AZ-204 pode te ajudar em DevSecOps?
Olá, pessoal. Tudo bem?
Hoje, farei um review sobre a certificação AZ-204 da Microsoft — Azure Developer — e o motivo pela qual eu a escolhi e que entendo ajudar na área de DevSecOps 😊
Vamos lá?
Review sobre a prova
A prova pode ser feita em até 120 minutos e possui 3 grandes divisões: um case, perguntas gerais e perguntas de sim/não. Entre essas divisões, é possível fazer uma pausa de até 5 minutos. Além disso, durante as perguntas gerais, você precisa escolher uma linguagem de programação: C# ou Python. No meu caso, preferi Python.
Nas perguntas gerais, cai todos esses aspectos:
- SDK
- Opções de armazenamento de dados
- Conexões de dados
- APIs
- Autenticação e autorização de aplicativo
- Implantação de computação e contêineres
- Depuração
Um outro ponto importante da prova é que por ser uma prova associate, possui uma aba da prova para que você possa ler as documentações disponíveis no site da Microsoft (Microsoft Learn) — apenas fundametals não possui esse recurso. Isso pode ser uma boa dica para quem está estudando e possa se sentir confortável na hora da prova, pois não é necessário decorar trechos de código, pois no dia a dia, desenvolvedores sempre leem a documentação. No entanto, é necessário lembrar que é preciso controlar o tempo para realizar todas as 42 questões durante 120 minutos.
Um outro ponto, a Microsoft recomenda realizar essa prova quando a pessoa já possui mais de um ano de experiência com a Azure. Esse é um ponto que eu acredito que se realizar os laboratórios e estudar o material que deixarei em sequência, não será necessário ter essa essa experiência previamente.
Material de estudo
Eu, particularmente, prefiro estudar usando livro técnico + documentação da Microsoft + laboratórios. No entanto, eu comprei um curso para assistir e ter um bom overview sobre a prova também.
Links:
Vídeo:
Self-paced:
Excelente livro de referência:
Excelente resumos explicando rapidamente sobre as ferramentas. Ajuda a fixar melhor o conteúdo que é bem extenso.
Laboratório. Gostei muito do whizlabs, pois além de ter um path com diversos laboratórios do conteúdo da prova, você não precisa se preocupar em pagar uma instância na Azure e depois, olhar a fatura do cartão de crédito 😅. Além disso, ele possui vídeos e testes também.
Motivo pelo qual eu considero essa prova interessante para DevSecOps:
1- Começa com o fato de que a Azure é um dos principais provedores de Cloud no mercado.
2- AZ-204 é focada nos pontos que citei nas perguntas gerais, entre elas, desenvolvimento e segurança.
3- No ponto voltado à desenvolvimento, é bastante focado em functions e trigger com blob storage. Blob storage por si só, se configurado incorretamente, pode fazer com que os arquivos fiquem disponíveis publicamente e com isso, haja vazamento de dados ou injeção de códigos maliciosos para esse ambiente. Enquanto que as functions, também podem ser configuradas de forma equivocada. Assim, podem ser acessadas através da url (dependendo da trigger) e gerar inclusive múltiplas requisições (além do custo para empresa). Como também, é um serviço muito utilizado por desenvolvedores para automatizar tarefas como atualizar banco, por exemplo.
4- Outro ponto que é bastante focado, é no uso de key vaults. Algo que é muito importante de orientar os desenvolvedores para não expor a senha no código da aplicação e utilizar de forma correta nos arquivos de configuração.
5- Explica conceitos de CI/CD, como build, deploy, embora não seja por meio da construção da pipeline. No entanto, é super importante entender esses conceitos, os comandos, para que se possa criar uma pipeline depois.
6- Ensina a utilizar programa de versionamento de código, como o git.
7- Explica o conceito de APIM. É um dos pontos que considero super importante, pois em muitos trabalhos de DevSecOps, precisamos analisar APIs para encontrar vulnerabilidades. Um dos pontos, é poder orientar o desenvolvedor na utilização do APIM. Como também, nos conceitos de inbound, outbound e na configuração de políticas de segurança através da implementação de cabeçalhos, por exemplo.
8- Outros pontos importantes que o conteúdo aborda é na anonimização de dados no banco de dados e nos conceitos de autenticação x autorização. São pontos que frequentemente o analista de DevSecOps/AppSec precisa orientar os desenvolvedores.
Espero que tenham gostado 💜
