DevSecOps Eğitimi

Bu eğitim, güvenliği (Security) hızlı tempolu DevOps süreçlerine entegre etmek isteyen kurumlar için tasarlanmıştır.
Katılımcılar, CI/CD (Sürekli Entegrasyon ve Teslimat), Sürekli İzleme (CM) ve Infrastructure as Code (IaC) pratiklerinde
güvenlik kontrollerini nasıl otomatikleştirebileceklerini uygulamalı olarak öğreneceklerdir.

Bankalar ve finansal kurumlar için özel not:
BDDK’nın “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” (Madde 16-25)
kapsamında, DevSecOps yaklaşımıyla geliştirilen otomasyon süreçleri kurumların bilgi güvenliği yönetim sistemleriyle
uyumlu olmalı, “güvenli yazılım geliştirme” ve “zafiyet yönetimi” süreçlerinin sürekli izlenebilirliğini sağlamalıdır.

Eğitim boyunca kullanılan DevSecOps Lab ortamı, Vagrant ve Ansible ile inşa edilmiştir
ve açık kaynak güvenlik araçlarıyla donatılmıştır. Katılımcılar tüm pipeline yapılandırmalarını tarayıcı üzerinden deneyimleyecektir.

Yazılım geliştiriciler, DevOps mühendisleri, güvenlik uzmanları,
ve özellikle bankalar, sigorta şirketleri ve regülasyona tabi kurumlarda çalışan IT yöneticileri için uygundur.

Katılımcılar bu eğitimin sonunda:

• CI/CD süreçlerinde güvenlik araçlarını entegre etmeyi ve otomatikleştirmeyi öğrenir.

• HashiCorp Vault, OWASP ZAP, Semgrep, OpenVAS gibi araçlarla pratik yapar.

• BDDK Madde 23 uyarınca, yazılım bileşenlerinin güvenli yönetimi ve test süreçlerinin kayıt altına alınmasını
  kendi DevSecOps pipeline’larında uygular.

• Geliştirme, test ve canlı ortamda güvenlik takibi (Continuous Security Monitoring) gerçekleştirir.

• Kurum içi güvenlik kültürünü destekleyecek Security Champion rolünü benimser.

Bu eğitim sonunda, katılımcılar hem teknik olarak güçlü bir DevSecOps pipeline kurabilecek
hem de BDDK düzenlemeleriyle tam uyumlu, denetlenebilir ve sürdürülebilir güvenlik süreçleri oluşturabileceklerdir.

1. Gün

• DevOps’a Giriş

  • DevOps kavramı ve uygulamalı pipeline kurulumu

• DevSecOps Nedir?

  • Zorluklar, tehdit modeli ve güvenli pipeline konsepti

• Vulnerability Management (Zafiyet Yönetimi)

  • BDDK Madde 18 kapsamında zafiyetlerin tespiti, sınıflandırılması ve raporlanması

• Continuous Integration (CI) ve Talisman ile Kod Analizi

  • Regex tanımlarıyla gizli anahtarların (secrets) engellenmesi

• Secrets Management (Gizli Bilgi Yönetimi)

  • HashiCorp Vault ile erişim kontrolü, Madde 24 – Erişim Yetkilendirme uyumlu uygulama

• Static / Dynamic Analysis (SAST & DAST)

  • Semgrep ve OWASP ZAP pipeline uygulamaları

• Software Composition Analysis (SCA)

  • Bağımlılık analizleri, açık kaynak risk yönetimi

2. Gün

• Infrastructure as Code (IaC) Güvenliği

  • Terraform / Ansible / Inspec ile Madde 22 – Sistem Değişiklik Yönetimi uyumlu yapı

• Container Security (Trivy)

  • Docker imajları için güvenlik kontrolü ve zafiyet düzeltme

• Continuous Monitoring (ELK + ElastAlert)

  • Log takibi, alarm oluşturma ve saldırı simülasyonu

• DevSecOps in AWS

  • Bulut ortamında güvenlik, Madde 17 – Bulut Hizmet Sağlayıcı Risk Yönetimi gereklilikleriyle uyumlu

• DevSecOps Maturity Model

  • Kurumsal olgunluk değerlendirmesi, Madde 25 – Bilgi Güvenliği Yönetimi