info@orb-experts.com
Ein fortgeschrittener Kurs für erfahrene Entwicklerinnen und Entwickler sowie Platform Engineers zum Aufbau sicherer Pipelines. Teilnehmende verankern Security Checks in CI oder CD, härten die Supply Chain und etablieren schnelle Feedbackschleifen ohne Tempoverlust.
Sie entwerfen Sicherheit in Build- und Deploy-Abläufe, wählen passende Automatisierungen und schaffen praktikable Gates und Dashboards, die Teams akzeptieren. Nach diesem Training können Sie sicher:
• Risiken CI oder CD Phasen zuordnen und wirksame Kontrollen auswählen
• Code, Abhängigkeiten, Secrets, Container und IaC automatisiert prüfen
• SBOMs erzeugen und nutzen, Artefakte signieren und Provenienz verifizieren
• Pipelines, Zugangsdaten, Runner und Umgebungen härten
• Sicherheitslage mit aussagekräftigen Metriken messen und verbessern
• Fundierte Erfahrung mit gitbasierten Workflows und CI oder CD Tools
• Praxiswissen zu Containern und Cloud Deployments
• Beispiel Repositories oder Pipelines sind hilfreich
*Wir wissen, dass jedes Team eigene Bedürfnisse und Spezifikationen hat. Deshalb können wir die Schulungsübersicht nach Bedarf anpassen.
Modul 1: DevSecOps Grundlagen und Pipeline Design
• Bedrohungen je Phase abbilden Commit, Build, Test, Release, Deploy
• Vertrauensgrenzen für Source, CI, Registry und Runtime definieren
• Guardrails vs Gates wählen und risikobasierte Policies festlegen
• Eine minimale Security Stükkliste für die Pipeline erstellen
Modul 2: Quellcode nahe Checks mit Breitenwirkung
• Secret Erkennung und Pre Commit Hygiene
• Statische Analyse und Linting mit sinnvollen Baselines
• Dependency Risiken SCA, Lizenzen und Update Strategie
• Pull Request Muster Code Owners, erforderliche Checks und Branch Schutz
Modul 3: Vom Build zum Image mit Integrität
• Container Hardening minimales Base Image, Nutzer, Pakete
• Image Scans und Policy Bewertung vor dem Push
• SBOM Erstellung Formate und Ablage
• Artefakt Signaturen und Provenienzprüfung in CI
Modul 4: Infrastruktur und Konfiguration als Code
• IaC Scans für Cloud und Kubernetes Fehlkonfigurationen
• Policy as Code für Kontrollen in CI oder CD
• Template Bibliotheken und Golden Paths für Teams
• Drift Erkennung in Grundzügen und Optionen zur Behebung
Modul 5: Sichere Releases und Umweltkontrollen
• Promotions Dev bis Prod mit gezielten Berechtigungen
• Secret Management Rotation, kurzlebige Tokens, Workload Identities
• Hardening von Runnern und Agents Isolation, Netzwerk Egress, Caching
• Release Freigaben auf Basis von Evidenz aus Checks
Modul 6: Laufzeitschutz und Feedback
• Admission Controls und Signaturprüfung für Images
• Laufzeit Alarme aus Auth Fehlern, Policy Verweigerungen und auffälligen Calls
• Logs und Traces anreichern für schnelle Analyse
• Erkenntnisse in Backlog und Vorlagen zurückführen
Modul 7: Metriken, Dashboards und Governance
• Frühindikatoren Passquoten, Time to Fix, Abdeckung der Checks
• Risikobewertung für Services und Portfolios
• Umgang mit Ausnahmen Ablaufdatum und Owner Verantwortung
• Schlankes Programm Dashboard für Teams und Management
Modul 8: Fahrplan und Adoption
• Lücken nach Wirkung und Aufwand priorisieren
• Stufenweise Einführung und Enablement Kits
• Gemeinsame Libraries, wiederverwendbare Workflows und Referenz Repos
• Neunzig Tage Plan mit klaren Ergebnissen und Verantwortlichen
Praxisnahes Lernen mit erfahrenen Trainern an Ihrem Standort für Organisationen.
Neue Fähigkeiten erlernen, angeleitet von erfahrenen Trainern von überall.
