Beratung zur strategischen Einführung und Weiterentwicklung von DevSecOps.

• Reifegradanalyse und Assessment: Bewertung Ihres aktuellen DevSecOps-Reifegrades und Identifikation von Handlungsfeldern.

• Roadmap-Entwicklung: Schrittweise Einführung von Security-Praktiken in bestehende DevOps-Workflows.

• Kultur- und Change-Management: Aufbau einer Security-Kultur und Etablierung von Security Champions in Ihren Teams.

Automatisieren Sie Sicherheitsprüfungen in Ihren Build- und Deployment-Prozessen.

• SAST, DAST und SCA-Integration: Einbindung statischer und dynamischer Code-Analysen sowie Schwachstellenprüfung von Abhängigkeiten.

• Secrets Management: Sicherer Umgang mit Credentials, API-Keys und Zertifikaten mit Vault, AWS Secrets Manager oder Azure Key Vault.

• Supply Chain Security: SBOM, Signierung von Artefakten und Schutz vor Supply-Chain-Angriffen nach SLSA-Framework.

Absicherung Ihrer Cloud-Plattformen, Kubernetes-Cluster und Container-Umgebungen.

• Cloud Security Posture Management: Konfigurationsanalyse und Hardening für AWS, Azure und Google Cloud.

• Kubernetes Security: Pod Security, Network Policies, RBAC und Runtime Security mit Falco oder Tetragon.

• Container Image Hardening: Sichere Base-Images, Image-Scanning und Registry-Sicherheit.

Automatisierte Compliance-Prüfungen und Governance-Strukturen für regulatorische Anforderungen.

• Policy as Code: Implementierung mit Open Policy Agent (OPA), Kyverno oder Gatekeeper.

• Compliance-Automatisierung: Automatisierte Prüfungen für DSGVO, ISO 27001, SOC 2 und weitere Standards.

• Audit-Readiness: Lückenlose Nachweisführung und Vorbereitung auf interne und externe Audits.

Praxisorientierte Trainings, die Theorie und konkrete Werkzeuge verbinden.

• DevSecOps-Grundlagen: Einführung in Konzepte, Tools und Best Practices für Entwickler und DevOps-Teams.

• Threat Modeling Workshops: Methoden wie STRIDE und PASTA praxisnah angewendet auf Ihre Architekturen.

• Security Champions Trainings: Ausbildung interner Sicherheitsmultiplikatoren für nachhaltige Wirkung.

• DevOps-Ingenieure, die ihre Pipelines um Sicherheitsaspekte erweitern und Shift-Left-Security implementieren möchten

• Softwareentwickler, die sicheren Code schreiben und Sicherheitsprüfungen in ihre Entwicklungsworkflows integrieren wollen

• IT-Security-Verantwortliche, die moderne Sicherheitskonzepte in agilen und Cloud-nativen Umgebungen umsetzen möchten

• Verständnis der DevSecOps-Philosophie und ihrer Bedeutung für moderne Softwareentwicklung

• Implementierung von Shift-Left-Security-Praktiken in den gesamten Software Development Lifecycle (SDLC)

• Integration von Security-Tools in CI/CD-Pipelines: SAST, DAST, SCA, IaC-Scanning und Secrets Detection

• Interaktive Workshops mit praktischen Hands-on-Übungen an realistischen CI/CD-Pipelines und Cloud-Umgebungen

• Live-Demonstrationen von Security-Tools wie SAST, DAST, SCA und Container-Scannern in echten Build-Prozessen

• Threat-Modeling-Sessions in Kleingruppen mit Anwendung auf reale Architekturen der Teilnehmer

• Grundlegende Kenntnisse von DevOps-Praktiken und CI/CD-Pipelines

• Praktische Erfahrung in der Softwareentwicklung oder im DevOps-Bereich

• Vertrautheit mit mindestens einer Cloud-Plattform (AWS, Azure oder GCP) auf grundlegendem Niveau

• Frühzeitige Erkennung und Behebung von Sicherheitslücken durch automatisierte Tests im gesamten Entwicklungsprozess

• Reduzierung von Sicherheitsrisiken und Compliance-Verstößen durch konsequente Shift-Left-Security

• Schnellere Bereitstellung sicherer Software durch nahtlose Integration von Security in CI/CD-Pipelines

• Dauer: 1-4 Tage

• Ort: Online oder Inhouse

• Teilnehmer: ab 1 Person

• Netto-Preis 1.200 EUR pro Tag bis einschließlich drei Personen

• Brutto-Preis: 1.428 EUR pro Tag bis einschließlich drei Personen

• Auf Anfrage findet das Seminar mit individuellen Inhalten und Termin vor Ort in Ihrem Unternehmen oder online statt.

• Entwicklung von DevOps zu DevSecOps: Historie und Notwendigkeit

• Shift-Left-Security: Sicherheit als gemeinsame Verantwortung

• DevSecOps-Reifegradmodelle und deren Anwendung

• Kulturwandel: Zusammenarbeit zwischen Dev, Sec und Ops

• Sicherheitsanforderungen in agilen und Cloud-nativen Umgebungen

• Aktuelle Bedrohungslandschaft und typische Angriffsvektoren

• Standards und Frameworks: OWASP, NIST, CIS, BSI-Grundschutz

• Threat Modeling: STRIDE, PASTA und LINDDUN im Vergleich

• Security Requirements Engineering und Risk Assessment

• Sichere Architekturmuster und Design-Patterns

• Secure Coding Guidelines für gängige Programmiersprachen

• Code-Reviews mit Sicherheitsfokus

• Sicherheit in agilen Prozessen und Scrum-Workflows

• Integration von Security in User Stories und Sprint-Planning

• Static Application Security Testing (SAST): Tools und Integration

• Dynamic Application Security Testing (DAST) in automatisierten Pipelines

• Software Composition Analysis (SCA) für Open-Source-Abhängigkeiten

• Interactive Application Security Testing (IAST) und RASP

• Secrets Detection und Management mit Tools wie Vault oder Sealed Secrets

• Container Image Scanning mit Trivy, Clair, Snyk und Anchore

• Infrastructure-as-Code-Scanning mit Checkov, tfsec und KICS

• Pipeline-Hardening: Schutz vor Supply-Chain-Angriffen

• Signierung von Artefakten mit Sigstore, Cosign und GPG

• Software Bill of Materials (SBOM) und Provenance

• Sichere Verwendung von Build-Agenten und Runnern

• Zugriffskontrollen und Least-Privilege-Prinzipien in Pipelines

• Audit-Logging und Nachvollziehbarkeit von Pipeline-Aktivitäten

• SLSA-Framework (Supply-chain Levels for Software Artifacts)

• Shared Responsibility Model in AWS, Azure und Google Cloud

• Identity and Access Management (IAM) Best Practices

• Cloud Security Posture Management (CSPM)

• Cloud Workload Protection Platforms (CWPP)

• Cloud-native Application Protection Platforms (CNAPP)

• Netzwerksicherheit: VPCs, Security Groups, Service Mesh

• Datensicherheit: Encryption at Rest und in Transit, Key Management

• Container-Image-Härtung und minimale Base-Images

• Kubernetes Security: Pod Security Standards und Admission Controller

• Network Policies und Service-Mesh-Sicherheit mit Istio oder Linkerd

• Runtime Security mit Falco, Tetragon und ähnlichen Tools

• RBAC und Authentifizierung in Kubernetes

• Secrets-Management in Container-Umgebungen

• OPA Gatekeeper und Kyverno für Policy Enforcement

• Sichere Terraform- und Ansible-Konfigurationen

• Policy-as-Code mit Open Policy Agent (OPA) und Rego

• Compliance-as-Code für regulatorische Anforderungen

• Drift Detection und Configuration Management

• GitOps und sichere Deployment-Strategien mit ArgoCD und Flux

• Immutable Infrastructure als Sicherheitsprinzip

• Versionierung und Audit-Trails für Infrastructure-Änderungen

• Security Information and Event Management (SIEM) Integration

• Logging-Strategien für sicherheitsrelevante Events

• Security Observability mit Prometheus, Grafana und Loki

• Threat Detection und Response in Cloud-Umgebungen

• Incident Response Playbooks für DevSecOps-Teams

• Post-Mortem-Analysen und Lessons Learned

• Chaos Engineering und Security Chaos Engineering

• Regulatorische Anforderungen: DSGVO, ISO 27001, SOC 2, PCI-DSS

• Automatisierte Compliance-Prüfungen in CI/CD-Pipelines

• Audit-Trail-Management und Nachweisführung

• Security Champions Programm: Aufbau und Etablierung

• Security Awareness und Schulungskonzepte für Entwicklungsteams

• Metriken und KPIs zur Messung des DevSecOps-Reifegrades

• Etablierung einer nachhaltigen Security-Kultur im Unternehmen