KURUMSAL EĞİTİM, DEVSECOPS YÜKSEK GÜVENLİKLİ YAZILIM GELİŞTİRME

EĞİTİM SÜRESİ

• Format 1
  • 20 Gün
  • Ders Süresi: 50 dakika
  • Eğitim Saati: 10:00 - 17:00
• Format 2
  • 45 Gün
  • Ders Süresi: 50 dakika
  • Eğitim Saati: 10:00 - 17:00

Her iki eğitim formatında eğitimler 50 dakika + 10 dakika moladır. 12:00-13:00 saatleri arasında 1 saat yemek arası verilir. Günde toplam 6 saat eğitim verilir. 20 günlük formatta 120 saat eğitim, 45 günlük formatta toplam 270 saat eğitim verilmektedir. 45 günlük eğitimde katılımcılar kod yazar ve eğitmenle birlikte sorulan sorulara ve taleplere uygun içerikler ve örnekler çalışılır.

Eğitimler uzaktan eğitim formatında tasarlanmıştır. Her eğitim için Teams linkleri gönderilir. Katılımcılar bu linklere girerek eğitimlere katılırlar. Ayrıca farklı remote çalışma araçları da eğitmen tarafından tüm katılımcılara sunulur.

Eğitim içeriğinde GitHub ve Codespace kullanılır. Katılımcılar bu platformlar üzerinden örnek projeler oluşturur ve eğitmenle birlikte eğitimlerde sorulan sorulara ve taleplere uygun içeriğe cevap verir.

Eğitim yapay zeka destekli kendi kendine öğrenme formasyonu ile tasarlanmıştır. Katılımcılar eğitim boyunca bu yöntemle ilerlerler. Bu format sayesinde katılımcılar yaşam boyu kendilerini güncelleyebilir ve her türlü sorun karşısında çözüm üretebilir hale gelirler.

DEVSECOPS: GÜVENLİK VE HIZIN MÜKEMMEL BİRLEŞİMİ

Günümüzün hızla değişen dijital dünyasında, yazılım geliştirme süreçlerinin güvenli, hızlı ve verimli olması her zamankinden daha önemli hale gelmiştir. Bu noktada DevSecOps devreye giriyor. DevSecOps, yazılım geliştirme (Dev), operasyon (Ops) ve güvenlik (Sec) alanlarını birleştirerek güvenliği yazılım geliştirme süreçlerinin her aşamasına entegre eden bir yaklaşım sunar.

NEDEN DEVSECOPS?

Geleneksel güvenlik yaklaşımları genellikle yazılım geliştirme sürecinin son aşamalarına odaklanır. Ancak DevSecOps, güvenliği baştan sona dahil ederek, daha güvenli bir yazılım geliştirme ortamı sağlar. Erken aşamalarda yapılan güvenlik taramaları ve testler, zafiyetlerin erken tespit edilmesine ve minimize edilmesine olanak tanır.

DEVSECOPS'UN FAYDALARI

• Erken Güvenlik Testi ve Tarama: Güvenlik testleri yazılım geliştirme sürecinin ilk aşamalarında yapılır ve maliyetleri düşürür.
• Otomasyon ve Sürekli İzleme: Güvenlik uygulamaları otomatikleşir, tehditler hızlı algılanır ve yanıt verilir.
• Hız ve Güvenlik Dengesi: Geliştirme süreci hızlanırken güvenlik riskleri minimize edilir.
• Ekipler Arası İşbirliği: Geliştirici, operasyon ve güvenlik uzmanları arasında güçlü işbirliği sağlanır.
• Risk Yönetimi: Sürekli risk değerlendirmesi ve yönetimi yapılır.

EĞİTİMİN HEDEFİ

1. Güvenli Yazılım Geliştirme: Katılımcılar, güvenliği yazılım geliştirme sürecine entegre etmeyi öğrenecek.
2. Otomasyon ve Sürekli İzleme: Güvenlik testlerini otomatikleştirme ve erken müdahale yöntemleri.
3. Tehdit Yönetimi: Güvenlik tehditlerini tanıma ve müdahale yöntemleri.
4. Ekip İçi İşbirliği: Daha güvenli yazılım geliştirme süreci için işbirliği yöntemleri.
5. DevSecOps Araçları: Gerçek dünya projelerinde kullanılan araç ve teknikler.

EĞİTİM İÇERİĞİ

DEVSECOPS TEMELLERİ

• DevOps ve DevSecOps arasındaki farklar
• DevSecOps kültürü ve temel ilkeleri
• Yazılım geliştirme yaşam döngüsünde (SDLC) güvenliğin rolü
• "Shift Left" güvenlik yaklaşımı
• Güvenli kodlama ve güvenlik bilinci oluşturma

DEVOPS ARAÇLARINA GİRİŞ

• CI/CD nedir? Temel kavramlar ve önemi
• Jenkins, GitLab CI, CircleCI, Travis CI gibi araçların tanıtımı
• CI/CD pipeline'larında güvenlik testlerinin rolü
• Otomasyon ve test süreçlerinin entegrasyonu

SÜREKLİ ENTEGRASYON (CI)

• CI araçlarının kullanımı
• Test otomasyonu: Unit testler, fonksiyonel testler ve code coverage
• API ve UI testlerinin entegrasyonu
• Kod kalitesi ve statik analiz araçları (SonarQube vb.)

GÜVENLİK OTOMASYONU

• CI/CD süreçlerinde güvenlik testlerinin otomasyonu
• SonarQube, Snyk, Trivy gibi güvenlik açıkları tarama araçları
• Statik kod analizi (SAST) ve CI süreçlerine entegrasyonu
• Güvenlik açığı tarama sonuçlarının yönetimi

YAZILIM GÜVENLİĞİ VE GÜVENLİ KODLAMA PRATİKLERİ

• OWASP Top 10: En yaygın güvenlik zafiyetleri
• SQL Injection, XSS ve CSRF saldırıları ve önlenmesi
• Güvenli kod inceleme süreçleri ve teknikleri

STATİK VE DİNAMİK GÜVENLİK TESTLERİ

• Statik analiz araçları: SonarQube, Checkmarx
• Dinamik güvenlik test araçları: OWASP ZAP, Burp Suite
• SAST ve DAST karşılaştırması
• Pipeline'da SAST ve DAST entegrasyonu

SÜREKLİ DAĞITIM (CD)

• Dağıtım stratejileri: Blue-Green, Canary, Rolling
• CD araçları ve dağıtım süreçlerinin güvenliğe entegre edilmesi
• Uygulama izleme ve geri dönüş stratejileri
• Load ve performans testleri

KONTEYNER VE KUBERNETES GÜVENLİĞİ

• Docker ve Kubernetes güvenliği
• Güvenli Docker imajları oluşturma
• Aqua Security, Twistlock gibi konteyner güvenlik araçları
• Kubernetes'te güvenli yapılandırma ve izleme

GİZLİ BİLGİLERİN YÖNETİMİ (SECRETS MANAGEMENT)

• Gizli anahtarlar ve şifrelerin güvenli yönetimi
• Vault, AWS Secrets Manager, Azure Key Vault kullanımı
• CI/CD pipeline'larında secrets yönetimi

AÇIK KAYNAK GÜVENLİK AÇIKLARI YÖNETİMİ

• Açık kaynak bağımlılıklarının güvenli yönetimi
• Snyk, Dependabot ile açık kaynak güvenlik açıklarını tarama
• Açık kaynak güvenlik yamalarının uygulanması

INFRASTRUCTURE AS CODE (IAC) VE GÜVENLİK

• Infrastructure as Code kavramı ve araçları (Terraform, CloudFormation)
• IaC güvenlik açıkları ve güvenli yapılandırma
• Bridgecrew, Checkov gibi güvenlik araçları ile IaC güvenliği

SÜREKLİ İZLEME VE TEHDİT TESPİTİ

• Güvenlik olaylarının izlenmesi ve raporlanması
• SIEM sistemleri: Splunk, ELK
• Log yönetimi ve anomali tespiti
• Wazuh ve OSSEC kullanımı

ZARARLI YAZILIM ANALİZİ VE KORUMA

• Zararlı yazılımların tespiti ve analizi
• CI/CD süreçlerinde anti-malware araçlarının entegrasyonu
• Dosya bütünlüğü izleme ve güvenlik olaylarının araştırılması

PENETRASYON TESTİ VE RED TEAMİNG

• Penetrasyon testleri ve CI/CD entegrasyonu
• Pentest araçları: Metasploit, Nmap, Wireshark
• Red Team operasyonları ve güvenlik savunmalarının testi

BULUT GÜVENLİĞİ

• AWS, Azure ve Google Cloud güvenlik mimarileri
• Cloud Security Posture Management (CSPM) araçları
• Bulutta kimlik ve erişim yönetimi (IAM) güvenliği

ZERO TRUST GÜVENLİK MODELİ

• Zero Trust güvenlik yaklaşımı
• Kullanıcı doğrulama ve yetkilendirme stratejileri
• Mikro segmentasyon ve ağ güvenliği

OLAY MÜDAHALESİ (INCIDENT RESPONSE)

• Güvenlik ihlalleri karşısında olay müdahale süreçleri
• CI/CD pipeline'ında otomatik ihlal tespiti
• Incident response araçları ve playbook'lar

SÜREKLİ GÜVENLİK TESTLERİ VE GERİ BİLDİRİM DÖNGÜSÜ

• CI/CD pipeline'ında sürekli güvenlik testleri oluşturma
• Güvenlik testlerinin analiz edilmesi ve optimize edilmesi
• Sürekli güvenlik geri bildirim döngülerinin oluşturulması

DEVSECOPS KÜLTÜRÜ VE ORGANİZASYONEL DEĞİŞİM

• DevSecOps kültürünün organizasyona entegrasyonu
• Güvenlik ve geliştirme ekipleri arasında iş birliği
• Güvenlik bilincini artıran atölye çalışmaları
• Yalın (Lean) ve Agile metodolojilerinin DevSecOps ile entegrasyonu

EĞİTİM YÖNTEMİ

• Teorik Bilgi: Güncel bilgiler ve konseptlerin anlatımı.
• Uygulamalı Örnekler: Gerçek senaryolarla pratik uygulamalar.
• Etkileşimli Tartışmalar: Katılımcıların aktif katılım sağlayacağı, soru-cevap şeklinde tartışmalar yapılacak oturumlar.
• Proje Tabanlı Öğrenme: Eğitimin boyunca katılımcıların katılımcıların öğrendiklerini pratikte uygulayacakları eğitim formasyonu uygulanacaktır.

HEDEF KİTLE

• Yazılım Geliştiriciler: Yazılım geliştirme süreçlerinde güvenlik önlemleri almak isteyen, güvenli yazılım geliştirme pratiği kazanmak isteyen profesyoneller.
• DevOps Mühendisleri: DevOps süreçlerine güvenliği entegre etmek isteyen ve CI/CD pipeline'larında güvenlik testlerinin rolünü öğrenmek isteyen mühendisler.
• Sistem ve Altyapı Yöneticileri: Altyapı güvenliği ile ilgilenen ve DevSecOps uygulamalarıyla bulut ve container güvenliğini sağlamak isteyen profesyoneller.
• Güvenlik Uzmanları: Yazılım geliştirme ve operasyon süreçlerinde güvenliği daha iyi yönetmek isteyen ve güvenlik açıklarını tespit etme konusunda daha derin bilgi sahibi olmak isteyen güvenlik profesyonelleri.
• Test Mühendisleri: Yazılım test süreçlerinde güvenlik testlerinin nasıl entegre edileceğini öğrenmek isteyen ve güvenlik test otomasyonuna odaklanmak isteyen test mühendisleri.
• DevSecOps ve Agile Ekip Liderleri: DevSecOps ve Agile metodolojilerini organizasyonlarına entegre etmek ve güvenlik kültürünü yaymak isteyen liderler.
• Bulut Mühendisleri: AWS, Azure ve Google Cloud gibi bulut platformlarında güvenlik önlemleri almak isteyen profesyoneller.
• IT Yöneticileri ve CIO'lar: Şirketlerinde güvenlik kültürünü güçlendirmek isteyen ve DevSecOps süreçlerini benimsemek isteyen üst düzey yöneticiler.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Temel Yazılım Geliştirme Bilgisi: Katılımcıların yazılım geliştirme süreçlerine dair temel bilgiye sahip olmaları, özellikle yazılım geliştirme yaşam döngüsüne (SDLC) hakim olmaları beklenir.
• Temel DevOps Bilgisi: Katılımcıların DevOps süreçlerini anlamaları ve CI/CD (Sürekli Entegrasyon/Sürekli Dağıtım) konularında temel bilgiye sahip olmaları beklenir.
• Güvenlik Bilinci: Katılımcıların yazılım güvenliği konularında temel bir farkındalığa sahip olmaları, güvenlik açıkları ve savunma mekanizmaları hakkında bilgi sahibi olmaları gereklidir.
• Aktif Katılım: Eğitim boyunca interaktif bir şekilde aktif katılım göstermeleri, sorular sorarak ve tartışmalara dahil olarak öğrenme süreçlerini pekiştirmeleri beklenir.
• Pratik Uygulama ve Deneyim: Katılımcılardan, eğitimin sonunda öğrendikleri DevSecOps araçlarını ve güvenlik uygulamalarını kendi projelerine entegre edebilme becerisine sahip olmaları beklenir.
• Problem Çözme Yetenekleri: Katılımcıların yazılım geliştirme, test, güvenlik ve DevOps süreçlerinde karşılaşacakları potansiyel sorunları çözmek için yaratıcı ve analitik düşünme becerisi sergilemeleri beklenir.
• Ekip Çalışması: Katılımcıların, organizasyonlarında veya projelerinde DevSecOps uygulamaları için işbirliği ve takım çalışması yapabilecek düzeyde olmaları gereklidir. Eğitimde grup çalışmaları ve senaryo tabanlı uygulamalar yapılacaksa, işbirliğine açık olmaları önemlidir.
• Teknoloji ve Araçlar Hakkında İleri Seviye Bilgi: Eğitimde yer alan araçlar (Jenkins, GitLab CI, SonarQube, Snyk, vb.) hakkında daha fazla bilgi edinmeye istekli olmaları ve bu araçları etkin bir şekilde kullanmaya hazırlıklı olmaları beklenir.
• Kapsamlı Düşünme: Katılımcıların DevSecOps kültürünü sadece teknik seviyede değil, organizasyonel düzeyde de nasıl entegre edebileceklerini düşünmeleri ve uygulamaları beklenir.