DevSecOps
Schulung & Kurs

Sicherheit nahtlos in deine DevOps-Pipelines integrieren und praktisch umsetzen.

Entdecke in diesem zweitägigen Workshop, wie du Sicherheit erfolgreich in deine DevOps-Prozesse integrierst. Von den Grundlagen des Shift-Left-Ansatzes bis zu fortgeschrittenen Container-Sicherheitstechniken – lerne praxisnah, wie du sichere CI/CD-Pipelines aufbaust und automatisierte Sicherheitstests implementierst.

Kurse für Teams:

Gerne führen wir zugeschnittene Kurse für euer Team durch - vor Ort, remote oder in unseren Kursräumen.

In-House Kurs Anfragen

Kurstermine:

 

Kursinhalt:


In diesem Workshop lernst du, wie du Sicherheit nahtlos in deine DevOps-Prozesse integrierst und eine umfassende DevSecOps-Kultur in deinem Team etablierst. Du wirst praktische Techniken zur Automatisierung von Sicherheitstests, Container-Scanning und Vulnerability Management kennenlernen.
Dank hands-on Übungen und realen Szenarien entwickelst du die Fähigkeit, sichere CI/CD-Pipelines zu implementieren und Sicherheitsrisiken frühzeitig zu erkennen.
Wir beginnen mit den DevSecOps-Grundlagen und vertiefen uns dann in fortgeschrittene Themen wie Container-Sicherheit, Policy Management und automatisierte Compliance-Checks.

Tag 1:
– Welcome, Setup & Lab Environment
– DevSecOps Principles:
... - Warum ist Sicherheit wichtig?
... - Von DevOps zu DevSecOps
... - Shift-Left Approach
... - Automation Principles
... - Security as Code
... - Vulnerability Databases und Identifiers
– Securing Software Development:
... - Code Analysis und Scanning
... - Einführung in Static Code Analysis (SCA)
... - Implementierung und Automatisierung von Scanning mit SonarQube
... - Static Application Security Testing (SAST) mit GitLab
... - Software Bill of Materials (SBOMs)
... - Warum sind Visibility und Traceability wichtig?
... - Erstellen von SBOMs mit Syft
... - Tracking von SBOMs mit Dependency Tracker
... - Automatisierung von SBOM Generation und Tracking mit GitLab
... - Environment-specific Scanners
... - Programming language-specific environments (Go vuln scan, npm audit, pip-audit)
– Securing Containerized Pipelines:
... - Building Secure Containers
... - Concepts und Best Practices
... - Scanning von Containern mit Trivy
... - Automatisierung von Container Scanning und Tracking mit GitLab

Tag 2:
– Securing Containerized Pipelines (Fortsetzung):
... - Container Signing mit Sigstore/Cosign
... - Automatic Container Signing mit GitLab
... - Container Artifact Storage
... - Artifact Scanning
... - Retrieval Policies
– Securing Deployed Orchestration:
... - Deployment Configuration Scanning mit Trivy
... - Implementierung von Pod Security Standards
... - Kubernetes Policy Management mit OPA (Open Policy Agent)
– Security Issue Tracking:
... - Erstellen automatisierter Tickets für Security Findings in GitLab
... - Exclusions und Exceptions
– Outlook:
... - Nächste Schritte: Automatisierte Behebung und darüber hinaus


Disclaimer: Der effektive Kursinhalt kann, abhängig vom Trainer, Durchführung, Dauer und Konstellation der Teilnehmer:innen von obigen Angaben abweichen.

Ob wir es Schulung, Kurs, Workshop, Seminar oder Training nennen, wir möchten Teilnehmer/innen an ihrem Punkt abholen und mit dem nötigen praktischen Wissen ausstatten, damit sie die Technologie nach der Schulung direkt anwenden und eigenständig vertiefen können.

Ziel:

Nach diesem Kurs wirst du Sicherheit erfolgreich in deine DevOps-Prozesse integrieren und eine umfassende DevSecOps-Kultur etablieren können. Du erwirbst praktische Fertigkeiten zur Implementierung automatisierter Sicherheitstests, Container-Scanning und Vulnerability Management. Von Static Code Analysis über SBOM-Generierung bis hin zu Kubernetes Policy Management - du lernst, Sicherheit als integralen Bestandteil deiner CI/CD-Pipelines zu implementieren.
Durch praxisnahe Übungen und realistische Szenarien entwickelst du die Kompetenz, sichere Container-Images zu erstellen, Deployment-Konfigurationen zu scannen und automatisierte Security Issue Tracking zu implementieren. Du beherrschst den Shift-Left-Ansatz und kannst sowohl traditionelle als auch moderne Sicherheitstools effektiv einsetzen.


Form:

Der Kurs ist klar strukturiert und setzt sich aus theoretischen Erklärungen und praktischen Übungen zusammen. Du wirst von einem erfahrenen Trainer begleitet, der dir bei Fragen rund um das Thema zur Seite steht. 


Zielgruppe:

Dieser Kurs richtet sich an DevOps Engineers, Software-Entwickler, Systemadministratoren und Security Engineers, die Sicherheit erfolgreich in ihre CI/CD-Pipelines integrieren möchten.


Voraussetzungen:

Grundlegende Kenntnisse in DevOps-Praktiken und CI/CD-Pipelines.
Erfahrung mit Git, Docker und grundlegende Linux-Kenntnisse.
Laptop mit lokalen Installationsrechten empfohlen.


Vorbereitung:

Jeder Teilnehmer erhält nach der Anmeldung einen Fragebogen und eine Vorbereitungs-Checkliste zugestellt. Wir stellen pro Teilnehmendem eine umfassende Laborumgebung bereits, so dass alle Teilnehmenden ihre eigene Experimente und auch komplexen Szenarien direkt umsetzen können.

In-House Kurs anfragen:

In-House Kurs Anfragen

Trage dich in die Warteliste ein für weitere öffentliche Kurs-Termine. Sobald wir genügend Personen auf der Warteliste haben, klären wir einen möglichst für alle passenden Termin ab und schalten einen neuen Termin auf. Falls du direkt mit zwei Kollegen oder Kolleginnen teilnehmen möchtest, können wir sogar direkt einen öffentlichen Kurs für euch planen.

Warteliste

(Falls ihr bereits mehr 3 Teilnehmer:innen oder mehr habt, klären wir mit euch direkt euren Wunschtermin ab und schreiben den Kurs aus.)

Mehr über DevSecOps



DevSecOps ist die Weiterentwicklung von DevOps und integriert Sicherheit als fundamentalen Bestandteil in den gesamten Softwareentwicklungszyklus. Anstatt Sicherheit als nachgelagerten Prozess zu behandeln, wird sie von Anfang an in die Entwicklungs- und Deployment-Pipelines eingebettet.



Der Shift-Left-Ansatz ist dabei zentral: Sicherheitstests und -kontrollen werden so früh wie möglich im Entwicklungsprozess implementiert, um Schwachstellen bereits in der Entwicklungsphase zu identifizieren und zu beheben, anstatt sie erst in der Produktion zu entdecken.






Geschichte


DevSecOps entstand als natürliche Weiterentwicklung der DevOps-Bewegung, als Organisationen erkannten, dass Sicherheit nicht länger ein separater, nachgelagerter Prozess sein konnte. Die zunehmende Digitalisierung und die Häufigkeit von Cyberangriffen machten es notwendig, Sicherheit von Beginn an in die Entwicklungsprozesse zu integrieren.


Moderne Tools wie Container-Scanner, SAST/DAST-Tools und Policy-as-Code-Lösungen ermöglichen es heute, Sicherheit nahtlos in CI/CD-Pipelines zu integrieren. Die Cloud Native Computing Foundation (CNCF) und andere Organisationen treiben die Entwicklung von Open-Source-Sicherheitstools voran, die speziell für cloud-native Umgebungen entwickelt wurden.


Der Begriff "Security as Code" beschreibt dabei den Ansatz, Sicherheitsrichtlinien und -kontrollen als Code zu definieren und zu verwalten, was Automatisierung, Versionierung und Wiederverwendbarkeit ermöglicht.