Szkolenie

Automatyzacja Bezpieczeństwa w CI/CD

Dwudniowy warsztat, na którym zbudujesz od podstaw działający pipeline CI/CD integrujący skany DAST, SCA i SAST. Dowiesz się, jak nie utonąć w szumie fałszywie pozytywnych alertów. Wyjdziesz z fundamentami DevSecOps, po które sięgniesz pierwszego dnia po powrocie do pracy.

Format: online / on-site Czas: 2 dni Cena: od 2 599 PLN/os.
Zanim wejdziesz

Chcesz automatyzować bezpieczeństwo, ale narzędzia generują więcej szumu niż wartości.

DevSecOps nie kończy się na zakupie skanera. Źle wdrożony SAST zalewa zespół tysiącami fałszywie pozytywnych alertów, bramka blokująca merge bez kontekstu szybko zaczyna być obchodzona, a SCA krzyczące o podatnych zależnościach generuje więcej problemów, niż rozwiązuje.

To szkolenie jest dla Ciebie, jeśli…

  • Chcesz automatyzować bezpieczeństwo w SDLC, ale nie wiesz, od czego zacząć w gąszczu narzędzi.
  • Twoje skanery generują tysiące alertów, z których większość to szum.
  • Masz wpiąć bezpieczeństwo w pipeline, ale nie wiesz, gdzie ustawić progi blokujące.
  • Masz już SAST, DAST albo SCA, ale chcesz poskładać je w jeden, spójny pipeline.
  • Chcesz dołożyć do swojego warsztatu rynkową umiejętność, której nie daje teoria z konferencji.
Co osiągniesz

Działający pipeline, nie certyfikat za obecność.

Zostaje Ci wiedza i umiejętności, żeby samodzielnie zbudować potok CI/CD spinający skany z zarządzaniem podatnościami. Ten sam materiał przerobiły setki inżynierów w największych organizacjach w kraju.

Architektura
Mapa architektury referencyjnej pipeline'u.
Pipeline
Działający potok CI/CD (DAST, SCA, SAST).
Dashboard
Wyniki skanów spięte w jednym dashboardzie do zarządzania podatnościami.
Certyfikat
Dowód przerobienia materiału i działającego pipeline'u.
Agenda

Pełny łańcuch DevSecOps, moduł po module.

Od fundamentów po zarządzanie podatnościami. Każdy moduł to konkretna praktyka uruchamiana na żywo, a na końcu spinasz je w jeden działający pipeline.

Bootloader: fundamenty DevSecOps

Definicja DevSecOps, architektura referencyjna CI/CD i pryncypia: shift-left, automation-first, secure by default. Na start: szkic lub rewizja własnego pipeline'u CI/CD.

Analiza dynamiczna (DAST)

Skan dynamiczny aplikacji: ZAP (1. generacja) i nuclei (2. generacja), skanowanie pasywne vs aktywne, fuzzing, Test-Driven Security i wpięcie w potok CI/CD.

Analiza składu i łańcuch dostaw (SCA)

Podatne i złośliwe biblioteki, SBOM z Dependency-Track, ocena dojrzałości zależności (OpenSSF Scorecard), detekcja złośliwych pakietów (GuardDog, Packj), provenance i SLSA. Świeże ataki supply chain jako studium przypadku.

Analiza statyczna: podstawy (SAST 101)

Detekcja sekretów w kodzie, obrazach Docker i logach, rotacja sekretów, hooki pre-commit i podejście „secure by default", żeby podatność nie trafiła do repozytorium.

Analiza statyczna: zaawansowane (SAST 102)

Semgrep i pisanie własnych reguł, strategia wdrożenia w CI/CD bez zalewania zespołu alertami, skan Infrastructure-as-Code i obrazów oraz podejście Compliance-as-Code.

Zarządzanie podatnościami

Proces zamiast listy alertów: SLA na usuwanie podatności, krytyczność vs ryzyko, własna baza wiedzy. Finał: gotowy pipeline spinający wszystkie skany z modułów.

Standardy i narzędzia

Uznane frameworki i narzędzia open source.

Proces opieramy na branżowych modelach dojrzałości, które rozpoznaje każdy audytor. Praktykę budujesz na narzędziach, które zostają z Tobą po szkoleniu, bez kosztów licencyjnych.

OWASP SAMM NIST SSDF OWASP DevSecOps Guideline OWASP ZAP nuclei Semgrep Trivy Dependency-Track OpenSSF Scorecard DefectDojo SBOM / SLSA
Opinie uczestników

Co mówią ludzie o naszych szkoleniach.

Nasze programy od lat wybierają zespoły inżynierskie z czołowych firm w bankowości, fintechu, ubezpieczeniach i software house'ach.

„Kursy Andrzeja to prawdziwa kopalnia wiedzy. Każdy materiał skupia się na konkretach – nie ma tu miejsca na marketingowe puste frazesy. Polecam każdemu, kto szuka solidnych podstaw bez zbędnych upiększeń."

Łukasz Mazurczak
Łukasz Mazurczak Cyber Risk Management Engineer · Santander Bank Polska

„Highly recommend if you're implementing security in the Software Development Life Cycle. Andrzej and Krzysiek are very competent, helpful and kind trainers."

Aleksandra Kornecka
Aleksandra Kornecka Senior Security Engineer

„Polecam w 100%. Wiedza przekazana w sposób przystępny i zrozumiały, co przy tematyce technicznej jest nie lada sztuką. Jestem pod wielkim wrażeniem umiejętności Andrzeja – to naprawdę duża dawka solidnej wiedzy z zakresu cyberbezpieczeństwa."

Tomasz Kuciński
Tomasz Kuciński Główny Administrator Systemu · Orange Polska

„Jestem bardzo usatysfakcjonowana. Lubię strukturę: porządny wstęp teoretyczny i logiczny podział lekcji. Andrzej jasno omawia zagadnienia, pokazuje przykładowe ataki i nie stroni od dodatkowych materiałów. W punkt!"

Karolina Dyrda
Karolina Dyrda QA Specialist

„Bardzo dobrze zaprojektowane szkolenie, pokrywające kluczowe zagadnienia bezpieczeństwa – zarówno teoretyczne, jak i praktyczne. Polecam wszystkim, którzy chcą specjalizować się w tym obszarze cyberbezpieczeństwa!"

Marek Kost
Marek Kost Senior Security Professional · CISM, CISA, CRISC

„Forma prezentacji – bomba. Merytoryka – znowu najwyższe noty. Ciągle wracam do materiałów i korzystam. Polecam!"

Marcin Kabaciński
Marcin Kabaciński Członek Zarządu · Fundacja CISO #Poland

„Super instruktor, Andrzeju pokłony. Szkolenie oparte jest na aktualnych trendach i praktykach – super praktyczne ćwiczenia."

Maciej Bartkowski
Maciej Bartkowski Head of Security · MAIN Interconnection

„Ciekawe, bardzo praktyczne szkolenie. Polecam jako wprowadzenie do tematu bezpieczeństwa aplikacji."

Tomasz Więzik
Tomasz Więzik Principal Software Developer · Axians

„Wszystko jasno wytłumaczone, świetnie poprowadzone. Polecam z całego serca!"

Gizela
Gizela Quality Engineer

„Otworzyłem oczy na wiele aspektów bezpieczeństwa, z którymi wcześniej miałem styczność jedynie pobieżnie, bez możliwości przyjrzenia się im od kuchni. Wprowadził mnie w zupełnie nowe zagadnienia, które bez wątpienia wykorzystam w codziennej praktyce."

Marcin Krupa
Marcin Krupa Starszy Analityk · Accenture

„Może korzystam z innych technologii, ale wiem czego szukać i dałabym radę. Must have dla każdego DevOpsa i architekta."

Angelika Maria Piątkowska
Angelika Maria Piątkowska Architekt · BCF Software

„Samo mięso – konkretna teoria i praktyczne podejście do tematu. Znalazłem mnóstwo cennych smaczków i optymalizacji, które od razu wdrożyłem w firmie."

Dawid Apolinarski
Dawid Apolinarski Application Security Engineer
Szkolenie zamknięte

Chcesz podnieść poziom całego zespołu?

ABC DevSecOps poprowadzimy w formie zamkniętej dla Waszych inżynierów — w realiach Waszych projektów i zgodnie z wymaganiami compliance (np. DORA, NIS2, CRA czy SOC 2). Skalę dopasowujemy do potrzeb: od pojedynczego warsztatu po pełną transformację. Zakres i wycenę ustalamy indywidualnie.