DevSecOps, ‘şifre gibi güvenlik’, ‘DevOps ve Güvenliğin evliliği’ ve ‘Güvenliğin sola kaydırılması’ gibi ifadelerle tanımlandırılmıştır. Klasik güvenlik yaklaşımları, kısa süre önce yaşanan çok sayıdaki veri ihlallerinden de anlaşılacağı üzere Agile, DevOps ve Bulut yaklaşımlarını kullanan kuruluşlar için yetersiz ve oldukça da etkisiz kalmaktadır. DevSecOps ise yazılımın geliştirme sürecinin tüm aşamalarında güvenlik testlerinin otomatik olarak yapılması sayesinde güvenliği her bir DevOps ekibinin bir parçası haline getiren yeni bir yaklaşımdır. Güvenlik altyapısı, politikalar, kontroller, uyum, denetim ve hatta güvenli işlemler bile tamamen kodlanmakta ve otomatik hale getirilmekte ve hemen hemen hiçbir manüel süreç yürütülmemektedir.
Bu iki günlük uygulamalı eğitim DevSecOps yaklaşımı, çalışma çerçevesi ve DevSecOps araçları hakkında genel bir bilgi vererek başlamakta ve ardından uygulama güvenliğine, güvenli yazılım geliştirme sürecinin unsurlarına ve kesintisiz entegrasyon / kesintisiz kurulum sürecinin bir parçası olarak otomatikleştirilen uygulama güvenliği testlerinin kullanımına eğilmektedir. Ardındansa bulut güvenliği, şifreli altyapı ve çevik DevOps süreçlerinden kaynaklanabilecek potansiyel güvenlik sorunlarına geçmekteyiz. Güvenlik, politikalar, sır yönetimi, şifreleme, kimlik ve erişim yönetiminden günlük kaydı tutma, takip ve alarm belirlemeye dek güvenlik kontrollerinin birer kod olarak uygulamaya konulmasını ele almaktayız. Konteynerler ve sunucusuz altyapılar tanıtılmakta ve konteyner güvenliği teknolojileri incelenerek olası güvenlik sorunları vurgulanmaktadır. Otomatik güvenlik testlerini entegre etmek ve güvenlik risklerini de azaltmak amacıyla DevSecOps yaklaşımı kullanılmaktadır. Kod olarak kesintisiz uyum da eğitim kapsamında olup önleme, tespit ve düzeltme için farklı yaklaşımlar ve uygun DevSecOps araçları kullanılmakta ve bu da süreci kod olarak denetim kavramına getirmektedir.
Büyük veri analizini ve yapay zeka ve makine öğrenimini kullanarak güvenlik vakalarının belirlenmesi, yönetimi ve müdahale için yeni bir Güvenlik İşlemleri modeli sunulmakta olup imza algılama ve tehdit bilgilerinin yayınlanması gibi daha klasik tekniklerden de faydalanılmaktadır. Eğitimde son olarak teknoloji ve koddan ayrılıp organizasyonel ve kültürel hususlar, beceri geliştirme, ekip etkinliği ve işe alım yaklaşımları gibi DevSecOps’un insan yönünü ele almaktayız.
Eğitim, sunumlar, pratik demolar ve laboratuvar uygulamaları şeklinde verilmektedir. DevSecOps araçları, otomatik güvenlik testleri ve sunucusuz uygulamalar konusunda uygulamalı deneyim elde edeceksiniz. Kod olarak altyapıya güvenlik iyileştirmelerini uygulayacak ve bulut ortamı için kesintisiz güvenliği sağlamak amacıyla da kesintisiz uyum araçlarını uygulamaya koyacaksınız.
Bu eğitim esasen şu kişilere yöneliktir:
Belirli bir ön koşul yoktur ancak katılımcıların, DevOps, uygulama ve altyapı güvenliği konusunda bilgi ve deneyim sahibi olmaları faydalı olacaktır.
Giriş
DevSecOps Approach, Framework and Toolkit
Automated Application Security Testing
Infrastructure as Code and Unit Tests
Cloud Security
Continuous Compliance
Containers
Serverless
A DevSecOps model for Security Operations
People aspects of DevSecOps
Sınıf eğitimlerimizi Kıbrıs ofislerimizde düzenlemekteyiz. Kurumunuza özel eğitimleri ise, dilediğiniz tarih ve lokasyonda organize edebiliriz.