DevOpsSec Eğitimi

DevSecOps Temelleri

• DevOps ve DevSecOps arasındaki farklar
• DevSecOps kültürü ve temel ilkeleri
• Yazılım geliştirme yaşam döngüsünde (SDLC) güvenliğin rolü
• "Shift Left" güvenlik yaklaşımı
• Güvenli kodlama ve güvenlik bilinci oluşturma

DevOps Araçlarına Giriş

• CI/CD nedir? Temel kavramlar ve önemi
• Jenkins, GitLab CI, CircleCI, Travis CI gibi araçların tanıtımı
• CI/CD pipeline'larında güvenlik testlerinin rolü
• Otomasyon ve test süreçlerinin entegrasyonu

Sürekli Entegrasyon (CI)

• CI araçlarının kullanımı
• Test otomasyonu: Unit testler, fonksiyonel testler ve code coverage
• API ve UI testlerinin entegrasyonu
• Kod kalitesi ve statik analiz araçları (SonarQube vb.)

Güvenlik Otomasyonu

• CI/CD süreçlerinde güvenlik testlerinin otomasyonu
• SonarQube, Snyk, Trivy gibi güvenlik açıkları tarama araçları
• Statik kod analizi (SAST) ve CI süreçlerine entegrasyonu
• Güvenlik açığı tarama sonuçlarının yönetimi

Yazılım Güvenliği ve Güvenli Kodlama Pratikleri

• OWASP Top 10: En yaygın güvenlik zafiyetleri
• SQL Injection, XSS ve CSRF saldırıları ve önlenmesi
• Güvenli kod inceleme süreçleri ve teknikleri

Statik ve Dinamik Güvenlik Testleri

• Statik analiz araçları: SonarQube, Checkmarx
• Dinamik güvenlik test araçları: OWASP ZAP, Burp Suite
• SAST ve DAST karşılaştırması
• Pipeline'da SAST ve DAST entegrasyonu

Sürekli Dağıtım (CD)

• Dağıtım stratejileri: Blue-Green, Canary, Rolling
• CD araçları ve dağıtım süreçlerinin güvenliğe entegre edilmesi
• Uygulama izleme ve geri dönüş stratejileri
• Load ve performans testleri

Konteyner ve Kubernetes Güvenliği

• Docker ve Kubernetes güvenliği
• Güvenli Docker imajları oluşturma
• Aqua Security, Twistlock gibi konteyner güvenlik araçları
• Kubernetes'te güvenli yapılandırma ve izleme

Gizli Bilgilerin Yönetimi (Secrets Management)

• Gizli anahtarlar ve şifrelerin güvenli yönetimi
• Vault, AWS Secrets Manager, Azure Key Vault kullanımı
• CI/CD pipeline'larında secrets yönetimi

Açık Kaynak Güvenlik Açıkları Yönetimi

• Açık kaynak bağımlılıklarının güvenli yönetimi
• Snyk, Dependabot ile açık kaynak güvenlik açıklarını tarama
  • Açık kaynak güvenlik yamalarının uygulanması

Infrastructure as Code (IaC) ve Güvenlik

• Infrastructure as Code kavramı ve araçları (Terraform, CloudFormation)
• IaC güvenlik açıkları ve güvenli yapılandırma
• Bridgecrew, Checkov gibi güvenlik araçları ile IaC güvenliği

Sürekli İzleme ve Tehdit Tespiti

• Güvenlik olaylarının izlenmesi ve raporlanması
• SIEM sistemleri: Splunk, ELK
• Log yönetimi ve anomali tespiti
• Wazuh ve OSSEC kullanımı

Zararlı Yazılım Analizi ve Koruma

• Zararlı yazılımların tespiti ve analizi
• CI/CD süreçlerinde anti-malware araçlarının entegrasyonu
• Dosya bütünlüğü izleme ve güvenlik olaylarının araştırılması

Penetrasyon Testi ve Red Teaming

• Penetrasyon testleri ve CI/CD entegrasyonu
• Pentest araçları: Metasploit, Nmap, Wireshark
• Red Team operasyonları ve güvenlik savunmalarının testi

Bulut Güvenliği

• AWS, Azure ve Google Cloud güvenlik mimarileri
• Cloud Security Posture Management (CSPM) araçları
• Bulutta kimlik ve erişim yönetimi (IAM) güvenliği

Zero Trust Güvenlik Modeli

• Zero Trust güvenlik yaklaşımı
• Kullanıcı doğrulama ve yetkilendirme stratejileri
• Mikro segmentasyon ve ağ güvenliği

Olay Müdahalesi (Incident Response)

• Güvenlik ihlalleri karşısında olay müdahale süreçleri
• CI/CD pipeline'ında otomatik ihlal tespiti
• Incident response araçları ve playbook'lar

Sürekli Güvenlik Testleri ve Geri Bildirim Döngüsü

• CI/CD pipeline'ında sürekli güvenlik testleri oluşturma
• Güvenlik testlerinin analiz edilmesi ve optimize edilmesi
• Sürekli güvenlik geri bildirim döngülerinin oluşturulması

DevSecOps Kültürü ve Organizasyonel Değişim

• DevSecOps kültürünün organizasyona entegrasyonu
• Güvenlik ve geliştirme ekipleri arasında iş birliği
• Güvenlik bilincini artıran atölye çalışmaları
• Yalın (Lean) ve Agile metodolojilerinin DevSecOps ile entegrasyonu