Transformacja

DevSecOps Transformation

Szkolenie daje wiedzę, ale wiedza bez praktyki i wdrożenia szybko wyparowuje. Transformacja prowadzi Twój zespół dalej: przez sześć tygodni, u boku dwóch ekspertów, przechodzi od narzędzi do praktyki i wychodzi gotowy, żeby ruszyć z bezpieczeństwem w procesie wytwórczym.

Format: kohorta online + spotkania live Czas: 6 tygodni Cena: od 50 000 PLN
Zanim ruszycie

Znasz kierunek i masz narzędzia. Brakuje procesu i ludzi, którzy je wdrożą.

DevSecOps nie kończy się na zakupie skanera. Źle wdrożony SAST zalewa zespół tysiącami fałszywie pozytywnych alertów, bramka blokująca merge bez kontekstu szybko zaczyna być obchodzona, a asymetria jest strukturalna: deweloperów zawsze jest więcej. Pozostaje pytanie, kto będzie to robił i jak sprawić, żeby bezpieczeństwo żyło w procesie, a nie kończyło się na arkuszach w Excelu.

Ta transformacja jest dla Was, jeśli…

  • Macie narzędzia (SAST, DAST, SCA) albo zamierzacie je wdrożyć, ale brakuje ludzi, którzy poprowadzą je w procesie.
  • Chcecie, żeby bezpieczeństwo było wbudowane w pipeline, a nie weryfikowane raz na kwartał przy penteście.
  • Rośniecie szybciej niż zespół bezpieczeństwa i potrzebujecie sieci Security Champions w zespołach wytwórczych.
  • Regulacje (DORA, NIS2, CRA) wymuszają sformalizowanie bezpieczeństwa w procesie wytwórczym.
  • Zależy Wam na zespole gotowym do realnej pracy nad bezpieczeństwem, nie na certyfikatach do szuflady.
Co osiągniecie

Przeszkolony zespół gotowy do pracy, nie certyfikat za obecność.

Transformacja zostawia w organizacji więcej niż punktowe szkolenie: zespół gotowy do pracy nad bezpieczeństwem i konkretny, techniczny rezultat. Ten materiał przerobiły już zespoły w największych organizacjach w kraju.

Przeszkolony zespół
Zespół gotowy wdrażać bezpieczeństwo w procesie wytwórczym oraz poprawiać bezpieczeństwo aplikacji, które tworzy i utrzymuje.
Działający pipeline
Zbudowany na naszym środowisku potok CI/CD ze skanami (DAST, SCA, SAST), który zespół przenosi na własne projekty.
Mniej podatności
Zespół wyłapuje podatności już w procesie wytwórczym i ogranicza ich liczbę w aplikacjach, które tworzycie, zanim trafią na produkcję.
Raport i certyfikaty
Raport poszkoleniowy z naszymi sugestiami oraz certyfikaty potwierdzające przejście szkolenia bezpieczeństwa — dowód pod compliance.
Jak przebiega

Sześć tygodni kohorty, nie jednorazowy warsztat.

Fundamentem transformacji jest kurs ABC DevSecOps. Napędzają ją cotygodniowe spotkania live wokół jego materiałów: przez sześć tygodni zespół przerabia kolejne moduły, a my spotykamy się online i rozwiązujemy problemy, na które natrafił. Na koniec dochodzi osobna sesja dla liderów i biznesu.

Spotkanie inicjalizacyjne i architektura referencyjna

Pokazujemy naszą architekturę referencyjną procesu DevSecOps, a zespół przygląda się własnej. Wspólnie ustalamy, od czego zacząć w Waszym kontekście. Do tego onboarding na platformę.

Sześć tygodni, sześć spotkań live

Co tydzień zespół przerabia kolejny moduł materiału (DAST → SCA → SAST → zarządzanie podatnościami), a my spotykamy się online na godzinę i rozwiązujemy problemy, na które natrafił. To office hours dla zespołu, z dwoma ekspertami: Andrzejem Dyjakiem i Krzysztofem Korozejem (Architekt Bezpieczeństwa w Banku Millennium).

Projekt na naszym środowisku

Częścią kursu jest projekt: zespół buduje działający potok CI/CD ze skanami, spięty z udostępnioną instancją Defect Dojo, na przygotowanym przez nas labie. To punkt wyjścia, który potem przenosi na własne projekty.

Sesja dla liderów i biznesu

Osobne spotkanie dla Tech Leadów i Engineering Managerów: jak DevSecOps wpina się w cykl wytwórczy, jak ułożyć role i odpowiedzialności (Security Champions, DevSecOps Engineers) oraz gdzie nadal wskazane jest wsparcie zewnętrznego dostawcy.

Raport poszkoleniowy

Po programie podsumowujemy, co zauważyliśmy w rozmowach z zespołem, i przekazujemy raport z sugestiami — kierunek do dalszych decyzji, nie audyt.

Transformacja czy sam kurs online?
  • Transformacja — formuła kohortowa: sześć tygodni spotkań live z dwoma ekspertami, projekt na naszym środowisku oraz sesja dla liderów.
  • Online / self-paced — ten sam kurs ABCD i asynchroniczne wsparcie ekspertów na forum, bez kohorty i sesji z biznesem.

Dla autonomicznych zespołów wariant Online często bywa wystarczający — ale to dostęp do kursu, nie transformacja. Transformację warto wybrać wtedy, gdy zależy Ci na przeprowadzeniu zespołu przez cały proces, a nie tylko na dostępie do materiału.

Zakres merytoryczny

Pełny łańcuch DevSecOps — materiał kursu ABCD.

Tłem transformacji jest program Automatyzacja Bezpieczeństwa w CI/CD (ABC DevSecOps). Od fundamentów po zarządzanie podatnościami: każdy moduł to konkretna praktyka, a na końcu zespół spina całość w jeden działający pipeline.

Bootloader: fundamenty DevSecOps

Definicja DevSecOps, architektura referencyjna CI/CD i pryncypia: shift-left, automation-first, secure by default. Na start: szkic lub rewizja własnego pipeline'u CI/CD.

Analiza dynamiczna (DAST)

Skan dynamiczny aplikacji: ZAP (1. generacja) i nuclei (2. generacja), skanowanie pasywne vs aktywne, fuzzing, Test-Driven Security i wpięcie w potok CI/CD.

Analiza składu i łańcuch dostaw (SCA)

Podatne i złośliwe biblioteki, SBOM z Dependency-Track, ocena dojrzałości zależności (OpenSSF Scorecard), detekcja złośliwych pakietów (GuardDog, Packj), provenance i SLSA. Świeże ataki supply chain jako studium przypadku.

Analiza statyczna: podstawy (SAST 101)

Detekcja sekretów w kodzie, obrazach Docker i logach, rotacja sekretów, hooki pre-commit i podejście „secure by default", żeby podatność nie trafiła do repozytorium.

Analiza statyczna: zaawansowane (SAST 102)

Semgrep i pisanie własnych reguł, strategia wdrożenia w CI/CD bez zalewania zespołu alertami, skan Infrastructure-as-Code i obrazów oraz podejście Compliance-as-Code.

Zarządzanie podatnościami

Proces zamiast listy alertów: SLA na usuwanie podatności, krytyczność vs ryzyko, własna baza wiedzy. Finał: gotowy pipeline spinający wszystkie skany z modułów.

Standardy i narzędzia

Uznane frameworki i narzędzia open source.

Proces opieramy na branżowych modelach dojrzałości, które rozpoznaje każdy audytor. Każdą praktykę budujemy na narzędziach, które zostaną z Twoim zespołem po programie, bez kosztów licencyjnych.

OWASP SAMM NIST SSDF OWASP DevSecOps Guideline OWASP ZAP nuclei Semgrep Trivy Dependency-Track OpenSSF Scorecard DefectDojo SBOM / SLSA
Opinie uczestników

Co mówią ludzie o naszych szkoleniach.

Nasze programy od lat wybierają zespoły inżynierskie z czołowych firm w bankowości, fintechu, ubezpieczeniach i software house'ach.

„Kursy Andrzeja to prawdziwa kopalnia wiedzy. Każdy materiał skupia się na konkretach – nie ma tu miejsca na marketingowe puste frazesy. Polecam każdemu, kto szuka solidnych podstaw bez zbędnych upiększeń."

Łukasz Mazurczak
Łukasz Mazurczak Cyber Risk Management Engineer · Santander Bank Polska

„Highly recommend if you're implementing security in the Software Development Life Cycle. Andrzej and Krzysiek are very competent, helpful and kind trainers."

Aleksandra Kornecka
Aleksandra Kornecka Senior Security Engineer

„Polecam w 100%. Wiedza przekazana w sposób przystępny i zrozumiały, co przy tematyce technicznej jest nie lada sztuką. Jestem pod wielkim wrażeniem umiejętności Andrzeja – to naprawdę duża dawka solidnej wiedzy z zakresu cyberbezpieczeństwa."

Tomasz Kuciński
Tomasz Kuciński Główny Administrator Systemu · Orange Polska

„Jestem bardzo usatysfakcjonowana. Lubię strukturę: porządny wstęp teoretyczny i logiczny podział lekcji. Andrzej jasno omawia zagadnienia, pokazuje przykładowe ataki i nie stroni od dodatkowych materiałów. W punkt!"

Karolina Dyrda
Karolina Dyrda QA Specialist

„Bardzo dobrze zaprojektowane szkolenie, pokrywające kluczowe zagadnienia bezpieczeństwa – zarówno teoretyczne, jak i praktyczne. Polecam wszystkim, którzy chcą specjalizować się w tym obszarze cyberbezpieczeństwa!"

Marek Kost
Marek Kost Senior Security Professional · CISM, CISA, CRISC

„Forma prezentacji – bomba. Merytoryka – znowu najwyższe noty. Ciągle wracam do materiałów i korzystam. Polecam!"

Marcin Kabaciński
Marcin Kabaciński Członek Zarządu · Fundacja CISO #Poland

„Super instruktor, Andrzeju pokłony. Szkolenie oparte jest na aktualnych trendach i praktykach – super praktyczne ćwiczenia."

Maciej Bartkowski
Maciej Bartkowski Head of Security · MAIN Interconnection

„Ciekawe, bardzo praktyczne szkolenie. Polecam jako wprowadzenie do tematu bezpieczeństwa aplikacji."

Tomasz Więzik
Tomasz Więzik Principal Software Developer · Axians

„Wszystko jasno wytłumaczone, świetnie poprowadzone. Polecam z całego serca!"

Gizela
Gizela Quality Engineer

„Otworzyłem oczy na wiele aspektów bezpieczeństwa, z którymi wcześniej miałem styczność jedynie pobieżnie, bez możliwości przyjrzenia się im od kuchni. Wprowadził mnie w zupełnie nowe zagadnienia, które bez wątpienia wykorzystam w codziennej praktyce."

Marcin Krupa
Marcin Krupa Starszy Analityk · Accenture

„Może korzystam z innych technologii, ale wiem czego szukać i dałabym radę. Must have dla każdego DevOpsa i architekta."

Angelika Maria Piątkowska
Angelika Maria Piątkowska Architekt · BCF Software

„Samo mięso – konkretna teoria i praktyczne podejście do tematu. Znalazłem mnóstwo cennych smaczków i optymalizacji, które od razu wdrożyłem w firmie."

Dawid Apolinarski
Dawid Apolinarski Application Security Engineer
Następny krok

Chcesz, żeby Twoi inżynierowie automatyzowali bezpieczeństwo?

Każda transformacja jest inna: inny zespół, inny stack, inne regulacje. Napisz do nas, umówimy rozmowę i przygotujemy ofertę dopasowaną do Twojej organizacji.