Minha jornada para a certificação CDE (Certified DevSecOps Expert)

A certificação CDE (Certified DevSecOps Expert) é uma certificação da empresa Practical DevSecOps. É uma empresa bem conhecida na área de AppSec por prover vários cursos e certificações na área.

Eles possuem certificações bem hands on e com cenários bem comuns no mercado. A certificação mais famosa deles é a CDP (Certified DevSecOps Professional). É uma certificação prática, com duração de 6 horas e com foco em segurança na pipeline. Mais informações é possível encontrar aqui. No entanto, deve-se lembrar que é uma certificação de nível intermediário.

A CDE, no entanto, é bem mais que pipeline. Ela é uma certificação avançada. Desse modo, o foco dela é passar por todos os principais conceitos de AppSec: pipeline, automação, revisão de código, análise de vulnerabilidades e integrações.

Realize a CDE apenas se você estiver muito confortável com ferramentas de segurança na pipeline, Ansible, comandos linux, uso do SSH e desenvolvimento de código.

É uma prova com duração de 24 horas. Isso ocorre por ser 5 questões com cenários reais.

Minha estratégia:

Iniciei a prova às 11h da manhã do sábado e finalizei às 4 primeiras questões e metade de uma às 3:30 da manhã. No dia seguinte, às 7h da manhã, revisitei essa última questão. É importante estar descansado, pois o sono pode atrapalhar na sua tomada de decisão.

Outro ponto importante, é separar as questões que considera mais complexa da mais fáceis. Assim, iniciei por uma questão que eu considerava mais complexa e intercalei com as mais fáceis. No final, gastei mais tempo com a questão mais complexa (pois teria mais tempo para me dedicar à ela). Monte sua própria estratégia, pois você só terá 24 horas para realizar a prova.

Além disso, durante o desenvolvimento das soluções, eu busquei anotar os comandos, tirar prints do resultados e separar as soluções numa pasta com cada questão (utilizei o OneNote para isso). Assim, ficou mais fácil de escrever meu relatório final. Eu iniciei o relatório às 11 horas e às 14 horas, eu tinha finalizado as 40 páginas do meu relatório.

Lembre-se que após o desafio, você ainda possui mais 24 horas, exclusivamente, para escrever o relatório. No entanto, eu preferi finalizar todo o processo até as 14 horas, pois eu já estava bem cansada e durante a resolução das questões, eu já estava desenvolvendo um esboço do que eu escreveria no relatório.

Material de estudo:

Sem dúvida alguma, os laboratórios são super importantes para gerar insights do que você verá na prova. Os vídeos, mesmo longos, possuem um material muito rico também. Não deixe de fazer suas próprias anotações sobre esses materiais.

Minha estratégia:

Quando você compra o voucher da prova, você leva o acesso de um mês dos laboratórios.

Eu realizei todos os labs durante 3 semanas (realizei de segunda a sexta e gastei, em média, duas horas por dia). Após isso, eu assisti os vídeos dos assuntos que eu menos tinha profundidade na plataforma: Ansible e Vault.

Além disso, comprei um curso para eu ganhar mais profundidade em Ansible, era algo que eu não sentia tanto domínio e me ajudou bastante.

Após isso, reli todo o resumo que eu tinha feito dos materiais e realizei a prova no dia seguinte.

É importante destacar que trabalho nesse contexto há mais de 4 anos.

Então, a minha jornada de estudo não foi tão extensa por conta disso. No entanto, isso irá variar com a experiência e profundidade de cada pessoa.

Veio a melhor notícia no dia seguinte:

A certificação ficou pronta 2 dias depois.

Aqui abaixo, eu deixo uma lista das certificações que considero interessantes na área de AppSec.

Não acredito que seja necessária realizar todas, pois muitas tem um conteúdo bastante similar.

Bons estudos! 😊