DevSecOps Transformation
Szkolenie daje wiedzę, ale wiedza bez praktyki i wdrożenia szybko wyparowuje. Transformacja prowadzi Twój zespół dalej: przez sześć tygodni, u boku dwóch ekspertów, przechodzi od narzędzi do praktyki i wychodzi gotowy, żeby ruszyć z bezpieczeństwem w procesie wytwórczym.
Znasz kierunek i masz narzędzia. Brakuje procesu i ludzi, którzy je wdrożą.
DevSecOps nie kończy się na zakupie skanera. Źle wdrożony SAST zalewa zespół tysiącami fałszywie pozytywnych alertów, bramka blokująca merge bez kontekstu szybko zaczyna być obchodzona, a asymetria jest strukturalna: deweloperów zawsze jest więcej. Pozostaje pytanie, kto będzie to robił i jak sprawić, żeby bezpieczeństwo żyło w procesie, a nie kończyło się na arkuszach w Excelu.
Ta transformacja jest dla Was, jeśli…
- Macie narzędzia (SAST, DAST, SCA) albo zamierzacie je wdrożyć, ale brakuje ludzi, którzy poprowadzą je w procesie.
- Chcecie, żeby bezpieczeństwo było wbudowane w pipeline, a nie weryfikowane raz na kwartał przy penteście.
- Rośniecie szybciej niż zespół bezpieczeństwa i potrzebujecie sieci Security Champions w zespołach wytwórczych.
- Regulacje (DORA, NIS2, CRA) wymuszają sformalizowanie bezpieczeństwa w procesie wytwórczym.
- Zależy Wam na zespole gotowym do realnej pracy nad bezpieczeństwem, nie na certyfikatach do szuflady.
Przeszkolony zespół gotowy do pracy, nie certyfikat za obecność.
Transformacja zostawia w organizacji więcej niż punktowe szkolenie: zespół gotowy do pracy nad bezpieczeństwem i konkretny, techniczny rezultat. Ten materiał przerobiły już zespoły w największych organizacjach w kraju.
Sześć tygodni kohorty, nie jednorazowy warsztat.
Fundamentem transformacji jest kurs ABC DevSecOps. Napędzają ją cotygodniowe spotkania live wokół jego materiałów: przez sześć tygodni zespół przerabia kolejne moduły, a my spotykamy się online i rozwiązujemy problemy, na które natrafił. Na koniec dochodzi osobna sesja dla liderów i biznesu.
Spotkanie inicjalizacyjne i architektura referencyjna
Pokazujemy naszą architekturę referencyjną procesu DevSecOps, a zespół przygląda się własnej. Wspólnie ustalamy, od czego zacząć w Waszym kontekście. Do tego onboarding na platformę.
Sześć tygodni, sześć spotkań live
Co tydzień zespół przerabia kolejny moduł materiału (DAST → SCA → SAST → zarządzanie podatnościami), a my spotykamy się online na godzinę i rozwiązujemy problemy, na które natrafił. To office hours dla zespołu, z dwoma ekspertami: Andrzejem Dyjakiem i Krzysztofem Korozejem (Architekt Bezpieczeństwa w Banku Millennium).
Projekt na naszym środowisku
Częścią kursu jest projekt: zespół buduje działający potok CI/CD ze skanami, spięty z udostępnioną instancją Defect Dojo, na przygotowanym przez nas labie. To punkt wyjścia, który potem przenosi na własne projekty.
Sesja dla liderów i biznesu
Osobne spotkanie dla Tech Leadów i Engineering Managerów: jak DevSecOps wpina się w cykl wytwórczy, jak ułożyć role i odpowiedzialności (Security Champions, DevSecOps Engineers) oraz gdzie nadal wskazane jest wsparcie zewnętrznego dostawcy.
Raport poszkoleniowy
Po programie podsumowujemy, co zauważyliśmy w rozmowach z zespołem, i przekazujemy raport z sugestiami — kierunek do dalszych decyzji, nie audyt.
- Transformacja — formuła kohortowa: sześć tygodni spotkań live z dwoma ekspertami, projekt na naszym środowisku oraz sesja dla liderów.
- Online / self-paced — ten sam kurs ABCD i asynchroniczne wsparcie ekspertów na forum, bez kohorty i sesji z biznesem.
Dla autonomicznych zespołów wariant Online często bywa wystarczający — ale to dostęp do kursu, nie transformacja. Transformację warto wybrać wtedy, gdy zależy Ci na przeprowadzeniu zespołu przez cały proces, a nie tylko na dostępie do materiału.
Pełny łańcuch DevSecOps — materiał kursu ABCD.
Tłem transformacji jest program Automatyzacja Bezpieczeństwa w CI/CD (ABC DevSecOps). Od fundamentów po zarządzanie podatnościami: każdy moduł to konkretna praktyka, a na końcu zespół spina całość w jeden działający pipeline.
Bootloader: fundamenty DevSecOps
Definicja DevSecOps, architektura referencyjna CI/CD i pryncypia: shift-left, automation-first, secure by default. Na start: szkic lub rewizja własnego pipeline'u CI/CD.
Analiza dynamiczna (DAST)
Skan dynamiczny aplikacji: ZAP (1. generacja) i nuclei (2. generacja), skanowanie pasywne vs aktywne, fuzzing, Test-Driven Security i wpięcie w potok CI/CD.
Analiza składu i łańcuch dostaw (SCA)
Podatne i złośliwe biblioteki, SBOM z Dependency-Track, ocena dojrzałości zależności (OpenSSF Scorecard), detekcja złośliwych pakietów (GuardDog, Packj), provenance i SLSA. Świeże ataki supply chain jako studium przypadku.
Analiza statyczna: podstawy (SAST 101)
Detekcja sekretów w kodzie, obrazach Docker i logach, rotacja sekretów, hooki pre-commit i podejście „secure by default", żeby podatność nie trafiła do repozytorium.
Analiza statyczna: zaawansowane (SAST 102)
Semgrep i pisanie własnych reguł, strategia wdrożenia w CI/CD bez zalewania zespołu alertami, skan Infrastructure-as-Code i obrazów oraz podejście Compliance-as-Code.
Zarządzanie podatnościami
Proces zamiast listy alertów: SLA na usuwanie podatności, krytyczność vs ryzyko, własna baza wiedzy. Finał: gotowy pipeline spinający wszystkie skany z modułów.
Uznane frameworki i narzędzia open source.
Proces opieramy na branżowych modelach dojrzałości, które rozpoznaje każdy audytor. Każdą praktykę budujemy na narzędziach, które zostaną z Twoim zespołem po programie, bez kosztów licencyjnych.
Co mówią ludzie o naszych szkoleniach.
Nasze programy od lat wybierają zespoły inżynierskie z czołowych firm w bankowości, fintechu, ubezpieczeniach i software house'ach.
„Kursy Andrzeja to prawdziwa kopalnia wiedzy. Każdy materiał skupia się na konkretach – nie ma tu miejsca na marketingowe puste frazesy. Polecam każdemu, kto szuka solidnych podstaw bez zbędnych upiększeń."
„Highly recommend if you're implementing security in the Software Development Life Cycle. Andrzej and Krzysiek are very competent, helpful and kind trainers."
„Polecam w 100%. Wiedza przekazana w sposób przystępny i zrozumiały, co przy tematyce technicznej jest nie lada sztuką. Jestem pod wielkim wrażeniem umiejętności Andrzeja – to naprawdę duża dawka solidnej wiedzy z zakresu cyberbezpieczeństwa."
„Jestem bardzo usatysfakcjonowana. Lubię strukturę: porządny wstęp teoretyczny i logiczny podział lekcji. Andrzej jasno omawia zagadnienia, pokazuje przykładowe ataki i nie stroni od dodatkowych materiałów. W punkt!"
„Bardzo dobrze zaprojektowane szkolenie, pokrywające kluczowe zagadnienia bezpieczeństwa – zarówno teoretyczne, jak i praktyczne. Polecam wszystkim, którzy chcą specjalizować się w tym obszarze cyberbezpieczeństwa!"
„Forma prezentacji – bomba. Merytoryka – znowu najwyższe noty. Ciągle wracam do materiałów i korzystam. Polecam!"
„Super instruktor, Andrzeju pokłony. Szkolenie oparte jest na aktualnych trendach i praktykach – super praktyczne ćwiczenia."
„Ciekawe, bardzo praktyczne szkolenie. Polecam jako wprowadzenie do tematu bezpieczeństwa aplikacji."
„Wszystko jasno wytłumaczone, świetnie poprowadzone. Polecam z całego serca!"
„Otworzyłem oczy na wiele aspektów bezpieczeństwa, z którymi wcześniej miałem styczność jedynie pobieżnie, bez możliwości przyjrzenia się im od kuchni. Wprowadził mnie w zupełnie nowe zagadnienia, które bez wątpienia wykorzystam w codziennej praktyce."
„Może korzystam z innych technologii, ale wiem czego szukać i dałabym radę. Must have dla każdego DevOpsa i architekta."
„Samo mięso – konkretna teoria i praktyczne podejście do tematu. Znalazłem mnóstwo cennych smaczków i optymalizacji, które od razu wdrożyłem w firmie."
Transformacja to nie koniec.
Po wdrożeniu dowolnej praktyki bezpieczeństwa organizacja zwykle potrzebuje kogoś, kto pomoże ją pogłębić i utrzymać. Możemy iść dalej: od weryfikacji efektu po stały nadzór.
Wdrożenie praktyki
Możemy wziąć jedną konkretną praktykę, np. SAST w pipelinie, i wdrożyć ją w organizacji — od proof of concept po monitoring skuteczności.
Doradztwo →→Audyt dojrzałości
Możemy ocenić dojrzałość bezpieczeństwa Waszego procesu SDLC i wskazać, którą praktykę wdrożyć najpierw, żeby wyciągnąć największy zwrot.
Weryfikacja →→Stały nadzór
Managed Security Program: czuwamy nad wdrożonymi praktykami w procesie wytwórczym, monitorujemy skuteczność i reagujemy na zmiany.
Doradztwo →→Chcesz, żeby Twoi inżynierowie automatyzowali bezpieczeństwo?
Każda transformacja jest inna: inny zespół, inny stack, inne regulacje. Napisz do nas, umówimy rozmowę i przygotujemy ofertę dopasowaną do Twojej organizacji.