Bezpieczny Kod

Automatyzacja Bezpieczeństwa w CI/CD: DevSecOps (ABCD)

Zrewolucjonizuj swój proces DevSecOps dzięki automatyzacji bezpieczeństwa. Naucz się efektywnie integrować DAST, SAST i SCA w potoku CI/CD.

To szkolenie wyposaży Twój zespół w kluczowe umiejętności, które nie tylko przyspieszą wykrywanie podatności, ale także znacząco zredukują koszty bezpieczeństwa w całym cyklu wytwórczym SDLC.

Zobacz opinie
Poznaj agendę
DevSecOps

Forma szkolenia

👥

Idealnymi odbiorcami szkolenia są Programiści, Administratorzy, DevOps, Testerzy i Inżynierzy QA oraz Inżynierzy Bezpieczeństwa.

👨‍🏫

Szkolenie jest w formie interaktywnego warsztatu 70:30 – większość czasu (70%) spędzamy wykonując praktyczne ćwiczenia, a pozostałą część (30%) poznając teorię.

⏱️

Czas trwania szkolenia w formie stacjonarnej to 2 pełne dni szkoleniowe.

🛠️

Efektywne przerabianie programu wymaga posiadania komputera, środowiska wirtualnego (VM), oraz Dockera. Przed szkoleniem dostarczamy instrukcję co należy zainstalować.

Program jako kurs online

Program „Automatyzacja Bezpieczeństwa w CI/CD: DevSecOps” oferujemy również jako kohortowy kurs online. Edycja trwa 5+1 tygodni z cotygodniowymi spotkaniami online i wspólnym przerabianiem materiału. Dodatkowy tydzień przeznaczony jest na uzupełnienie zaległości i oddanie prac domowych.

Dowiedz się więcej ↗

Agenda (w skrócie)

Fundamenty DevSecOps

Uczestnicy poznają koncepcję DevSecOps, jej związek z DevOps oraz rolę w tworzeniu bezpiecznego oprogramowania. Zgłębią wpływ DevSecOps na potok CI/CD i kluczowe zasady skutecznego wdrażania tej metodologii.

Analiza Dynamiczna (DAST)

Uczestnicy poznają podstawy i zaawansowane techniki DAST, używając narzędzi pierwszej (ZAP) i drugiej (Nuclei) generacji. Zgłębią różnice między skanowaniem pasywnym a aktywnym, z uwierzytelnieniem i bez. Zapoznają się z technikami fuzzingu i koncepcją Test-Driven Security. Nauczą się integrować DAST z potokiem CI/CD.

Analiza Składu (SCA) i łańcuch dostaw

Uczestnicy zgłębią problematykę podatnych bibliotek, niekompatybilnych licencji oraz koncepcję SBOM. Poznają różnice między skanowaniem lokalnym a globalnym w SCA oraz działania proaktywne i retroaktywne. Zapoznają się z zagrożeniami łańcucha dostaw, oceną dojrzałości zależności oraz narzędziami jak OpenSSF i Guarddog. Zgłębią koncepcję Provenance w kontekście standardu SLSA.

Analiza Statyczna (SAST): Podstawy

Uczestnicy poznają metody detekcji sekretów w kodzie, obrazach Docker i logach, ucząc się radzić z fałszywymi pozytywnymi wynikami. Zgłębią różnice między skanowaniem lokalnym a globalnym oraz podejściem proaktywnym i retroaktywnym. Zapoznają się z procedurami rotacji sekretów. Moduł wprowadzi również podstawy Statycznej Analizy Kodu (SAST) jako fundament podejścia „Secure by Default”.

Analiza Statyczna (SAST): Zaawansowane

Uczestnicy poznają techniki SAST pierwszej i drugiej generacji, w tym narzędzie Semgrep. Zgłębią różnice między skanami lokalnymi a globalnymi oraz strategie wdrażania SAST w CI. Nauczą się pisać własne reguły SAST i skanować Infrastructure-as-Code. Poznają podejście Compliance-as-Code i metody automatycznego skanowania klasycznej infrastruktury.

Zarządzanie podatnościami

Uczestnicy zgłębią zarządzanie podatnościami (VM) w kontekście DevSecOps, poznając różnice wobec tradycyjnego podejścia. Nauczą się ustalać SLA dla eliminowania podatności i budować własną bazę wiedzy. Zrozumieją różnice między oceną krytyczności a oceną ryzyka podatności, co pomoże w priorytetyzacji działań naprawczych.

Pomożemy Twojemu zespołowi nabyć kluczowe umiejętności w cyberbezpieczeństwie.
Poznaj pełną agendę programu Automatyzacja Bezpieczeństwa w CI/CD: DevSecOps.

Pełna oferta w PDF ↗

O naszych programach mówią

Szkolenie było dla mnie maksymalnie merytoryczne, praktyczne i ciekawe. Dostałem ogrom skomplikowanej wiedzy przekazanej w sposób prosty i przejrzysty.

— Łukasz Zajączkowski, QA Engineer

Ze względu na dynamiczny charakter dziedziny bezpieczeństwa aplikacji, szkolenie powinno uwzględniać najnowsze zagrożenia, techniki ataków i narzędzia obronne. Szkolenie oparte jest na aktualnych trendach i praktykach. Super praktyczne ćwiczenia.

— Maciej Bartkowski, Head of Security Department

Fantastyczne szkolenie! Wszystkie koncepty omówione bez zbędnego rozwlekania, wszystko w punkt!

— Paweł Tutka, DevOps Engineer

Wiedza wyniesiona stała się zalążkiem do e-booka o bezpieczeństwie, który napisałem razem z moją firmą. Jeżeli chcesz pisać bezpieczne aplikacje, OTWA jest dla Ciebie!

— Rafał Hofman, Software Engineer

Jestem pod wielkim wrażeniem umiejętności Andrzeja i polecam wszystkim uczestnictwo w organizowanych przez niego szkoleniach. To naprawdę duża dawka solidnej wiedzy z zakresu cyberbezpieczeństwa.

— Tomasz Kuciński, Główny Administrator Systemu

Udział w kursie nie tylko dostarczył mi wiedzy na temat cybersecurity, którą będę wykorzystywać w codziennej pracy, ale także dużo zabawy przy atakowaniu aplikacji Juice Shop!

— Karolina Dyrda, QA Specialist

Dowiemy się nie tylko jak jak testować i pisać bezpieczne oprogramowanie ale co równie ważne dlaczego powinniśmy to robić. Dzięki niemu usystematyzowałem wiedzę, usprawniłem używane procesy DevSecOps i wprowadziłem nowe.

— Lucjan, DevOps Engineer

Materiał szkoleniowy był bardzo dobrze przygotowany i zawierał mnóstwo praktycznych informacji, które z pewnością będą przydatne w codziennej pracy związanej z testowaniem aplikacji webowych. Na plus należy także zaliczyć różnorodność tematów poruszanych podczas szkolenia, co pozwoliło na zrozumienie zagadnień związanych z ofensywnym testowaniem od strony technicznej, ale także z punktu widzenia procesów i strategii.

— Adrian Maryniewski, QA Engineer

W programie zawarte są kluczowe zagadnienia, standardy i wytyczne dotyczące testowania bezpieczeństwa, techniki wykrywania podatności, a także wymagania dotyczące ich raportowania. Polecam wszystkim, którzy chcą specjalizować się w tym obszarze cyber bezpieczeństwa!

— Marek Kost, Senior Security Professional (CISM, CISA, CRISC)

Nasze treści w tym obszarze

  • Budowanie Programu Security Champions i DevSecOps w FinTech (przypadek XTB)

    Budowanie Programu Security Champions i DevSecOps w FinTech (przypadek XTB)

    Łukasz Jagielski z XTB o budowaniu programu Security Champions i wdrażaniu DevSecOps w fintechu. Praktyczne doświadczenia: od inspiracji BNP Paribas, przez wdrażanie bez zaburzania flow deweloperów, po mierzenie sukcesu transformacji bezpieczeństwa.

    Więcej →

  • Cyberbezpieczeństwo w USA vs Polska: Różnice, AI i Rynek Pracy

    Cyberbezpieczeństwo w USA vs Polska: Różnice, AI i Rynek Pracy

    Maciej zauważa, że w USA cyberbezpieczeństwo jest postrzegane jako wartość biznesowa, generująca zyski i spełniająca oczekiwania klientów. To podejście jest bardziej zaawansowane niż w Polsce, gdzie często traktuje się je wyłącznie jako koszt. Podkreśla niską świadomość zagrożeń cyfrowych, w tym AI, oraz nieskuteczność szkoleń phishingowych.

    Więcej →

  • Architekt o cybersecurity. Czy wszyscy w IT muszą znać się na bezpieczeństwie?

    Architekt o cybersecurity. Czy wszyscy w IT muszą znać się na bezpieczeństwie?

    Michał, tech lead i architekt, podkreśla rosnącą świadomość bezpieczeństwa programistów i podejście „shift-left”. Elastyczność i ciągła nauka są kluczowe. Testy bezpieczeństwa wdraża się po incydentach lub dla zgodności. Zabezpieczenie VPS wymaga firewalla, fail2ban i rozważnego wystawiania usług. Dla początkujących w CyberSec poleca TryHackMe, aby przetestować zainteresowanie.

    Więcej →

Umów konsultację na temat tego szkolenia

Nie wiesz czy to szkolenie najlepiej odpowie na potrzeby Twojego zespołu? Skorzystaj z bezpłatnej konsultacji i pozwól nam dopasować idealny program do Twoich celów.

Umów konsultację →