Automatyzacja Bezpieczeństwa w CI/CD
Dwudniowy warsztat, na którym zbudujesz od podstaw działający pipeline CI/CD integrujący skany DAST, SCA i SAST. Dowiesz się, jak nie utonąć w szumie fałszywie pozytywnych alertów. Wyjdziesz z fundamentami DevSecOps, po które sięgniesz pierwszego dnia po powrocie do pracy.
Chcesz automatyzować bezpieczeństwo, ale narzędzia generują więcej szumu niż wartości.
DevSecOps nie kończy się na zakupie skanera. Źle wdrożony SAST zalewa zespół tysiącami fałszywie pozytywnych alertów, bramka blokująca merge bez kontekstu szybko zaczyna być obchodzona, a SCA krzyczące o podatnych zależnościach generuje więcej problemów, niż rozwiązuje.
To szkolenie jest dla Ciebie, jeśli…
- Chcesz automatyzować bezpieczeństwo w SDLC, ale nie wiesz, od czego zacząć w gąszczu narzędzi.
- Twoje skanery generują tysiące alertów, z których większość to szum.
- Masz wpiąć bezpieczeństwo w pipeline, ale nie wiesz, gdzie ustawić progi blokujące.
- Masz już SAST, DAST albo SCA, ale chcesz poskładać je w jeden, spójny pipeline.
- Chcesz dołożyć do swojego warsztatu rynkową umiejętność, której nie daje teoria z konferencji.
Działający pipeline, nie certyfikat za obecność.
Zostaje Ci wiedza i umiejętności, żeby samodzielnie zbudować potok CI/CD spinający skany z zarządzaniem podatnościami. Ten sam materiał przerobiły setki inżynierów w największych organizacjach w kraju.
Pełny łańcuch DevSecOps, moduł po module.
Od fundamentów po zarządzanie podatnościami. Każdy moduł to konkretna praktyka uruchamiana na żywo, a na końcu spinasz je w jeden działający pipeline.
Bootloader: fundamenty DevSecOps
Definicja DevSecOps, architektura referencyjna CI/CD i pryncypia: shift-left, automation-first, secure by default. Na start: szkic lub rewizja własnego pipeline'u CI/CD.
Analiza dynamiczna (DAST)
Skan dynamiczny aplikacji: ZAP (1. generacja) i nuclei (2. generacja), skanowanie pasywne vs aktywne, fuzzing, Test-Driven Security i wpięcie w potok CI/CD.
Analiza składu i łańcuch dostaw (SCA)
Podatne i złośliwe biblioteki, SBOM z Dependency-Track, ocena dojrzałości zależności (OpenSSF Scorecard), detekcja złośliwych pakietów (GuardDog, Packj), provenance i SLSA. Świeże ataki supply chain jako studium przypadku.
Analiza statyczna: podstawy (SAST 101)
Detekcja sekretów w kodzie, obrazach Docker i logach, rotacja sekretów, hooki pre-commit i podejście „secure by default", żeby podatność nie trafiła do repozytorium.
Analiza statyczna: zaawansowane (SAST 102)
Semgrep i pisanie własnych reguł, strategia wdrożenia w CI/CD bez zalewania zespołu alertami, skan Infrastructure-as-Code i obrazów oraz podejście Compliance-as-Code.
Zarządzanie podatnościami
Proces zamiast listy alertów: SLA na usuwanie podatności, krytyczność vs ryzyko, własna baza wiedzy. Finał: gotowy pipeline spinający wszystkie skany z modułów.
Uznane frameworki i narzędzia open source.
Proces opieramy na branżowych modelach dojrzałości, które rozpoznaje każdy audytor. Praktykę budujesz na narzędziach, które zostają z Tobą po szkoleniu, bez kosztów licencyjnych.
Co mówią ludzie o naszych szkoleniach.
Nasze programy od lat wybierają zespoły inżynierskie z czołowych firm w bankowości, fintechu, ubezpieczeniach i software house'ach.
„Kursy Andrzeja to prawdziwa kopalnia wiedzy. Każdy materiał skupia się na konkretach – nie ma tu miejsca na marketingowe puste frazesy. Polecam każdemu, kto szuka solidnych podstaw bez zbędnych upiększeń."
„Highly recommend if you're implementing security in the Software Development Life Cycle. Andrzej and Krzysiek are very competent, helpful and kind trainers."
„Polecam w 100%. Wiedza przekazana w sposób przystępny i zrozumiały, co przy tematyce technicznej jest nie lada sztuką. Jestem pod wielkim wrażeniem umiejętności Andrzeja – to naprawdę duża dawka solidnej wiedzy z zakresu cyberbezpieczeństwa."
„Jestem bardzo usatysfakcjonowana. Lubię strukturę: porządny wstęp teoretyczny i logiczny podział lekcji. Andrzej jasno omawia zagadnienia, pokazuje przykładowe ataki i nie stroni od dodatkowych materiałów. W punkt!"
„Bardzo dobrze zaprojektowane szkolenie, pokrywające kluczowe zagadnienia bezpieczeństwa – zarówno teoretyczne, jak i praktyczne. Polecam wszystkim, którzy chcą specjalizować się w tym obszarze cyberbezpieczeństwa!"
„Forma prezentacji – bomba. Merytoryka – znowu najwyższe noty. Ciągle wracam do materiałów i korzystam. Polecam!"
„Super instruktor, Andrzeju pokłony. Szkolenie oparte jest na aktualnych trendach i praktykach – super praktyczne ćwiczenia."
„Ciekawe, bardzo praktyczne szkolenie. Polecam jako wprowadzenie do tematu bezpieczeństwa aplikacji."
„Wszystko jasno wytłumaczone, świetnie poprowadzone. Polecam z całego serca!"
„Otworzyłem oczy na wiele aspektów bezpieczeństwa, z którymi wcześniej miałem styczność jedynie pobieżnie, bez możliwości przyjrzenia się im od kuchni. Wprowadził mnie w zupełnie nowe zagadnienia, które bez wątpienia wykorzystam w codziennej praktyce."
„Może korzystam z innych technologii, ale wiem czego szukać i dałabym radę. Must have dla każdego DevOpsa i architekta."
„Samo mięso – konkretna teoria i praktyczne podejście do tematu. Znalazłem mnóstwo cennych smaczków i optymalizacji, które od razu wdrożyłem w firmie."
To dopiero początek.
W programie zdobywasz umiejętność automatyzacji bezpieczeństwa w CI/CD. Jeśli Twoja organizacja potrzebuje czegoś więcej, możemy pomóc: od oceny dojrzałości po pełną transformację zespołu.
Audyt dojrzałości
Możemy ocenić dojrzałość bezpieczeństwa Twojego procesu SDLC i wskazać, którą praktykę wdrożyć najpierw, żeby wyciągnąć największy zwrot w najkrótszym czasie.
Weryfikacja →→Level up Twojego zespołu
Możemy przeprowadzić transformację zespołu, po której będzie gotów do budowania i utrzymywania DevSecOps we własnym pipelinie CI/CD.
Transformacja →→Wdrożenie praktyki
Możemy wziąć jedną konkretną praktykę, np. SAST w pipelinie, i pomóc Ci wdrożyć ją w organizacji albo zespole, od proof of concept po monitoring skuteczności.
Doradztwo →→Chcesz podnieść poziom całego zespołu?
ABC DevSecOps poprowadzimy w formie zamkniętej dla Waszych inżynierów — w realiach Waszych projektów i zgodnie z wymaganiami compliance (np. DORA, NIS2, CRA czy SOC 2). Skalę dopasowujemy do potrzeb: od pojedynczego warsztatu po pełną transformację. Zakres i wycenę ustalamy indywidualnie.