Školení DevSecOps

Co je to DevSecOps

DevSecOps je přístup, který integruje bezpečnostní praktiky přímo do DevOps procesu a dělá z bezpečnosti součást každodenního vývoje a provozu. Cílem je takzvaný Shift Left – řešit bezpečnost co nejdříve, automatizovaně a opakovatelně, namísto toho, aby se problémy odhalovaly až na konci (nebo až po incidentu). DevSecOps stojí na principu „security by design“, kde bezpečnost není blokující gatekeeper, ale plně integrovaná součást vývojového cyklu.

V praxi DevSecOps kombinuje automatizované bezpečnostní kontroly v CI/CD pipeline (SAST, SCA, DAST), skenování kontejnerů a infrastruktury jako kódu (IaC), správu tajemství (secrets), hardening prostředí a bezpečné řízení přístupů (IAM / least privilege). Důležitou oblastí je také software supply chain security – tedy jak mít pod kontrolou závislosti, image, artefakty a procesy, které vedou k nasazení aplikace.

Jak školení probíhá

Školení probíhá formou praktického workshopu. Na ukázkovém projektu si postavíme bezpečnou CI/CD pipeline a postupně do ní přidáme jednotlivé bezpečnostní vrstvy. Ukážeme si, jak nastavit bezpečnostní kontroly tak, aby byly užitečné, automatické a nebrzdily tým – včetně práce s výsledky, triage nálezů a nastavení rozumných „gates“ (kdy build failnout a kdy pouze varovat).

Prakticky si projdeme nástroje pro statickou analýzu kódu, kontrolu závislostí a zranitelností, skenování Docker image, IaC bezpečnost a secret management. Dotkneme se také principů least privilege, bezpečné práce s přístupy v CI (tokens, OIDC, short-lived credentials) a základních možností detekce a reakce na hrozby – od preventivních kontrol až po runtime monitoring a alerting.

Nástroje přizpůsobíme vašemu stacku. Cílem je, aby si účastník odnesl konkrétní patterny a „blueprint“, který lze aplikovat na reálné projekty.

Co se naučíte

• Úvod do Shift Left Security – principy, výhody, jak nastavit bezpečnost bez blokování vývoje
• SAST & SCA – analýza kódu a závislostí, práce s nálezy (SonarQube, Trivy, Dependabot…)
• DAST – základní dynamické testování aplikací a automatizace v pipeline (např. OWASP ZAP)
• Container Security – bezpečné image (minimal base images), skenování, SBOM, podpisy a policy
• Runtime bezpečnost – co a jak hlídat v provozu, základní detekce anomálií, policy a ochrana workloadů
• Secret Management – jak správně pracovat s tajemstvími (Vault, Sealed Secrets), rotace a audit
• Infrastructure as Code Security – testování Terraform/Ansible YAML
• Supply Chain Security – bezpečné buildy, provenance, OIDC, artifact registry, minimalizace přístupů
• Compliance as Code – automatizace kontrol, evidence a auditovatelnost procesů
• Best practices – security gates, threat modeling pro DevOps, metriky a udržitelné workflow

Pro koho je školení určeno

Pro vývojáře, DevOps inženýry, platform týmy a security specialisty, kteří chtějí modernizovat bezpečnostní procesy a zavést bezpečnostní kontroly přímo do vývoje a provozu. Školení je vhodné jak pro týmy, které s DevSecOps začínají, tak pro ty, které už používají CI/CD a kontejnery, ale chtějí zlepšit bezpečnost pipeline, omezit rizika supply chain útoků a zvýšit auditovatelnost.

Kurz je přínosný i pro organizace, které chtějí snížit počet zranitelností v produkci, zrychlit reakce na incidenty a zlepšit spolupráci mezi DevOps a security týmy.

Technické požadavky

• Základní znalost CI/CD principů
• Základní orientace v Dockeru a Linuxu
• Základní znalost Gitu
• Přístup na internet