Sicherheit in die Pipeline einbauen, nicht nachträglich draufsetzen. DevSecOps mit GitLab.

2 TageMax. 7 Teilnehmer1199 EUR netto

In vielen Pipelines ist Security ein Nachgedanke: Secrets liegen ungeschützt in Variablen, Sicherheitsprüfungen kommen spät und Compliance wird manuell abgehakt. Welche Scans bringen den größten Sicherheitsgewinn? Wie geht man mit False Positives um, ohne die Entwicklung auszubremsen? In diesem Training lernen Sie, GitLabs Security-Toolkit gezielt einzusetzen – von Secret Detection über SAST und Container Scanning bis zu Compliance Frameworks. Sie arbeiten an praktischen Szenarien und verlassen das Training mit einer Security-Strategie und konkreten Maßnahmen für Ihre bestehenden Pipelines.

Zielgruppe

  • DevOps Engineers, die Security in ihre Pipelines integrieren möchten
  • Security Engineers, die CI/CD-Prozesse absichern sollen
  • Softwareentwickler, die sichere Software liefern wollen (DevSecOps)
  • Compliance-Verantwortliche, die Audit-Anforderungen in CI/CD umsetzen müssen

Voraussetzungen

  • Erfahrung mit GitLab CI/CD (Pipelines schreiben und konfigurieren)
  • Grundkenntnisse in Anwendungssicherheit (OWASP Top 10)
  • Verständnis von Container-Technologien (Docker)
  • Grundlegendes Wissen über Netzwerksicherheit und Authentifizierung

Curriculum

1

Security-Grundlagen in GitLab

  • DevSecOps: Sicherheit als Teil des Entwicklungsprozesses
  • GitLab Security Dashboard und Vulnerability Management
  • Berechtigungskonzepte: Least Privilege in Projekten und Gruppen
  • Protected Branches und Merge Request Approvals als Sicherheitsnetz
  • Audit Events und Compliance Reporting
2

Secrets Management

  • GitLab CI Variables: Scopes, Masking und Protection
  • Risiken hardcodierter Secrets und wie man sie findet
  • Secret Detection in Pipelines automatisieren
  • Integration mit externen Vaults (HashiCorp Vault, AWS Secrets Manager)
  • Rotation von Secrets und Token-Lifecycle
3

Static Application Security Testing (SAST)

  • SAST in GitLab CI integrieren und konfigurieren
  • Analysatoren für verschiedene Sprachen (Java, Python, JavaScript, Go)
  • False Positives managen und Severity-Levels richtig einordnen
  • Custom Rulesets und projektspezifische Konfiguration
  • SAST-Ergebnisse in Merge Requests und Security Dashboard
4

Container und Dependency Scanning

  • Container Scanning: Schwachstellen in Docker Images finden
  • Dependency Scanning: Verwundbare Bibliotheken erkennen
  • License Compliance: Open-Source-Lizenzen automatisch prüfen
  • Software Bill of Materials (SBOM) erstellen
  • Automatische Patching-Workflows mit Dependency Bot
5

Dynamic Testing und Infrastructure Security

  • DAST (Dynamic Application Security Testing) in Pipelines
  • API Security Testing mit GitLab
  • Infrastructure as Code Scanning (Terraform, Kubernetes-Manifeste)
  • Fuzz Testing: Unbekannte Schwachstellen aufdecken
  • Security-Policies für verschiedene Umgebungen
6

Compliance Frameworks und sichere Pipelines

  • GitLab Compliance Frameworks und Pipeline-Compliance
  • Separation of Duties in Deployment-Prozessen umsetzen
  • Signierte Commits und verifizierte Pipelines
  • Supply Chain Security: Signed Images und Attestations
  • Security-Metriken: Was messen, wie berichten?

Das nehmen Sie mit

Kleine Gruppen mit maximal 7 Teilnehmern für vertiefte Diskussionen
DevSecOps in der Praxis: Sicherheit als integraler Bestandteil der Pipeline
Trainer mit Security-Expertise aus regulierten Branchen (Automotive, Finance)
Sofort umsetzbar: Konkrete Maßnahmen für Ihre bestehenden Pipelines

Teilnahmegebühr

Pro Teilnehmer bei öffentlichen Terminen

1199 EUR

zzgl. MwSt.

Sie möchten ein Inhouse-Training für Ihr gesamtes Team? Kontaktieren Sie uns für ein individuelles Angebot.

Nächste Termine

DatumOrtStatus
03. August 2026Berlinverfügbar
26. Oktober 2026Onlineverfügbar
14. Dezember 2026Frankfurtverfügbar

Das sagen unsere Teilnehmer

Das Training hat uns die Augen geöffnet: Wir hatten Secrets in CI-Variablen, die weder maskiert noch geschützt waren. Allein dafür hat sich das Training schon gelohnt. Die Vault-Integration haben wir direkt in der Woche danach umgesetzt.

Christian P.

Wir müssen als Zulieferer in der Automobilbranche strenge Compliance-Anforderungen erfüllen. Der Trainer hat genau verstanden, worauf es uns ankommt, und konkrete Lösungen mit GitLab gezeigt.

Sabine G.

Sehr gut strukturiert und didaktisch auf den Punkt. Die Mischung aus Theorie und Hands-on war genau richtig. Besonders die Container-Scanning-Session hat mir viel gebracht.

Arne V.

Durchführungsformate

Ob öffentlicher Kurs, firmeninternes Training oder persönliches Coaching – wir passen uns an.

Öffentliche Trainings

Feste Termine, kleine Gruppen mit maximal 7 Teilnehmern und die Möglichkeit, sich mit Fachleuten aus anderen Unternehmen auszutauschen.

Inhouse Trainings

Maßgeschneidert für Ihr Team, an Ihrem Standort oder remote. Sie bestimmen Inhalte, Tempo und Termin.

Coaching & Beratung

Individuelle Begleitung bei konkreten Herausforderungen. Wir helfen direkt dort, wo es gerade klemmt.

GitLab CI/CD Security Training

Sichern Sie sich jetzt einen Platz oder lassen Sie sich ein maßgeschneidertes Inhouse-Angebot erstellen.

Training anfragen