KURUMSAL EĞİTİM, SIFIRDAN ZİRVEYE KUBERNETES TRİVY İLE OTOMATİK GÜVENLİK TARAMALARI
Güvenliği son aşamaya bırakmayın! Açık kaynak dünyasının en güçlü tarayıcısı olan Trivy ile CI/CD boru hatlarınıza sızılmaz güvenlik kapıları (Security Gates) kurun, imaj ve altyapı zafiyetlerini daha kod yazılırken yakalayın.
Eğitim Tanıtım Videosu
Trivy'nin CI/CD hattında (GitHub Actions) "Kritik" bir güvenlik açığı bulduğunda, hatalı kodun sunucuya gitmesini nasıl engellediğini izleyin. Gerçek bir "Shift-Left" demosu!
DevSecOps Standardı
Konteyner imajlarından bulut altyapılarına, dosya sistemlerinden yazılım bağımlılıklarına kadar her şeyi tarayabilen açık kaynak güvenlik devi.
EĞİTİM SÜRESİ, FORMATLARI VE KURUM ODAKLI YAKLAŞIM
Eğitim programlarımız, kurumunuzun hedefleri, ekip olgunluğu ve proje ihtiyaçlarına göre farklı yoğunluk seviyelerinde esnek olarak tasarlanmaktadır. Aşağıdaki formatlardan ihtiyacınıza en uygun olanı seçebilir veya tamamen özelleştirilmiş bir program talep edebilirsiniz.
- 1 Gün: Stratejik Farkındalık Semineri
- 5 Gün: Standart Teknik Eğitim Programı
- 10 Gün: Yoğun Uygulamalı (Hands-on) Eğitim
- 15-20 Gün: İleri Seviye Workshop & Proje Geliştirme Programı
- Ders Süresi: 50 dakika
- Eğitim Saatleri: 10:00 - 17:00 (İhtiyaca göre özelleştirilebilir)
Eğitimler, öğrenme verimliliğini artıracak şekilde yapılandırılmıştır. Her oturum 50 dakika eğitim + 10 dakika mola şeklinde planlanır. Gün içerisinde 12:00 - 13:00 saatleri arasında öğle arası verilir. Bu yapı ile katılımcılar, günlük ortalama 6 saat odaklı eğitim alır. Örneğin 5 günlük bir program toplamda 30 saatlik yoğun bir öğrenme deneyimi sunar.
- 1 Günlük Seminer:
Karar vericiler ve teknik ekipler için tasarlanmış bu formatta, ilgili teknolojinin temel prensipleri, sektörel etkileri ve kuruma sağlayacağı stratejik katkılar ele alınır. Amaç; farkındalık oluşturmak ve doğru yatırım kararlarını desteklemektir.- 5 Günlük Standart Program:
Konular sistematik bir şekilde ele alınır, teorik altyapı güçlü şekilde oluşturulur ve gerçek dünya senaryoları ile desteklenir. Katılımcılar; mimari yaklaşımlar, araçlar, kod yapıları ve uygulama örnekleri ile kapsamlı bir bilgi seviyesine ulaşır.- 10 Günlük Yoğun Hands-on Program:
Uygulama odaklı bu programda katılımcılar aktif olarak kod yazar, sistem kurar ve senaryolar geliştirir. Gerçek projelere yakın simülasyonlar ile öğrenme pekiştirilir. Özellikle yeni ekip kuran veya mevcut ekibini hızla yetkinleştirmek isteyen kurumlar için idealdir.- 15-20 Günlük İleri Seviye Workshop:
Katılımcılar yalnızca öğrenmez, aynı zamanda üretir. Eğitmen rehberliğinde gerçek bir sistem veya mimari geliştirilir. Ödevler, teknik değerlendirmeler ve yoğun workshop’lar ile ekiplerin ilgili teknolojiye tam hakimiyeti sağlanır. Özellikle organizasyon içinde yeni bir teknoloji dönüşümü planlayan kurumlar için önerilir.
Eğitimlerimiz uzaktan, müşteri lokasyonunda veya hibrit formatta gerçekleştirilebilir. Katılımcılar online platformlar (Microsoft Teams veya Zoom) üzerinden erişim sağlayabilir; eğitim süresince ekran paylaşımı, canlı kodlama, interaktif soru-cevap ve iş birliği araçları aktif olarak kullanılır.
Kurum ve Katılımcı Odaklı Eğitim Yaklaşımı
Her eğitim programı, standart bir içerik sunumu değil; doğrudan kurumun hedeflerine, ekip yapısına ve mevcut olgunluk seviyesine göre tasarlanan özelleştirilmiş bir öğrenme deneyimidir. Bu yaklaşım, eğitimin yalnızca bilgi aktarımı değil, ölçülebilir çıktı üretmesi amacıyla kurgulanır.
Katılımcı Profiline Göre İçerik Kurgulama
-
Yeni işe alınmış ekipler:
- Amaç: Projelere hızlı adaptasyon
- İçerik: Temel kavramlar + kurum teknolojilerine hızlı geçiş
- Odak: Hands-on uygulamalar ve gerçek proje senaryoları
-
Teknik ekipler (Developer / Senior Developer):
- Amaç: Teknik derinlik ve üretkenlik artışı
- İçerik: Best practice, kod kalitesi, performans
- Odak: Uygulamalı geliştirme ve refactoring
-
Teknik mimar ekipler:
- Amaç: Doğru mimari ile teknoloji konumlandırma
- İçerik: Sistem tasarımı, scalability, distributed architecture
- Odak: Mimari kararlar ve gerçek dünya senaryoları
-
Yönetim ve karar verici katman:
- Amaç: Teknolojinin iş hedefleri ile hizalanması
- İçerik: Strateji, ROI, risk yönetimi
- Format: Seminer / Executive briefing
Sonuç
- Hemen uygulanabilir bilgi sağlanır
- Ekiplerin adaptasyon süresi kısaltılır
- Teknik ve yönetsel hizalanma oluşturulur
GÜVENLİĞİN İSVİÇRE ÇAKISI: TRIVY İLE DEVSECOPS DEVRİMİ
Güvenlik artık canlı ortamda "test edilecek" bir şey değil, geliştiricinin klavyesinde (Shift Left) çözülecek bir sorundur. Aqua Security tarafından geliştirilen Trivy; basit bir "CVE (Güvenlik Açığı)" tarayıcısı olmanın çok ötesindedir. Terraform kodlarınızdaki (IaC) mimari hataları yakalar, kod içine unutulmuş gizli şifreleri (Secrets) bulur ve uygulamanızın yazılım malzeme listesini (SBOM) standartlara (CycloneDX) uygun şekilde çıkarır.
İmaj Katman Analizi
Uygulamanızı saran imaj katmanlarındaki zafiyetleri statik olarak (çalıştırmadan) analiz eder ve size çözüm önerisi (Remediation) sunar.
SBOM Yönetimi
Yazılımınızın içindeki tüm bağımlılıkların nüfus cüzdanını çıkararak, tedarik zinciri saldırılarına karşı "Şeffaflık" sağlar.
Eğitim Hedefi
Katılımcıları salt güvenlik taraması yapmaktan öteye geçirip; CI/CD sistemlerinde aşılmaz güvenlik kapıları inşa eden ve otonom güvenlik denetim sistemleri kurgulayan bir "DevSecOps Architect" seviyesine taşımaktır.
Eğitim sonunda katılımcılar; Trivy CLI ile imaj, repo ve dosya sistemi tarar. Misconfiguration (IaC) özelliğiyle Terraform/Kubernetes dosyalarındaki hataları yakalar. Kod depolarında sızmış olan Secret verilerini tespit eder. Yazılım Tedarik Zinciri (SSCS) güvenliği için SBOM (Software Bill of Materials) üretir. Son olarak Trivy'yi GitHub Actions/Gitlab gibi CI/CD pipeline süreçlerine "Güvenlik Kapısı (Gate)" olarak yerleştirip, Kubernetes üzerinde Trivy Operator ile canlı cluster denetimi sağlarlar.
Eğitim İçeriği
Trivy Mimarisi ve Ekosistem
- Architecture: Standalone (Tek başına) vs Client-Server modlarının farkları.
- Vulnerability Databases: CVE, NVD ve GitHub Advisories verilerinin nasıl güncellendiği.
- Kurulum ve CLI: Trivy komut satırı aracılığıyla ilk hızlı taramalar.
Konteyner İmaj Tarama (Advanced)
- Katman Analizi: İmaj içindeki paket bağımlılıklarının zafiyetlerini saptama.
- Distroless Scanning: Paket yöneticisi olmayan (Minimal) imajlardaki açıkları bulma sanatı.
- Private Registry: Harbor, ECR gibi korumalı registry'lerdeki imajlara erişim ve tarama.
SBOM (Tedarik Zinciri Şeffaflığı)
- The SBOM Mandate: Yazılım Malzeme Listesi formatları (CycloneDX, SPDX).
- Generation: Bir uygulamanın SBOM dökümünü JSON olarak dışarı aktarma.
- Scanning an SBOM: Çıkarılmış SBOM dosyasını, güvenlik açıkları için sonradan tekrar tarama.
IaC (Misconfig) Güvenlik Taraması
- Terraform Audit: Kod düzeyinde public bırakılmış S3 bucket veya açık port tespiti.
- Kubernetes YAML: Privilege Escalation veya HostPath gibi Kubernetes manifest tehlikelerini engelleme.
- Custom Policies (Rego): Şirkete özel OPA (Open Policy Agent) kurallarıyla denetim.
Secret (Gizli Veri) Sızıntı Analizi
- Entropy Detection: Kod deposu içine yanlışlıkla commitlenmiş AWS/Azure API anahtarlarını bulma.
- Git History Scan: Sadece güncel kodda değil, Git geçmişinde (History) kalan şifreleri temizleme.
- False Positives: "Dummy" test şifreleri ile gerçek riskleri birbirinden ayırma (Filtering).
Kubernetes Cluster Taraması
- Trivy K8s: Çalışan bir canlı kümedeki tüm podları ve ayarları otonom olarak (Agent) tarama.
- RBAC Auditing: Hatalı yetki atanmış (God-mode) Service Account'ları tespit etme.
- Continuous Compliance: Canlı ortam güvenliğini bir rapor halinde çıkarma.
VEX (Gürültü Filtreleme) Stratejisi
- Exploitability Exchange: "Bu açık var ama bu yazılımda sömürülemez" durumlarını yönetme (VEX).
- Ignore List: Doğrulanmış "False Positive" sonuçları yoksayma dosyaları (`.trivyignore`).
- CVSS Score: 10.0 seviyesindeki kritik açıkları önem sırasına koyma.
CI/CD Pipeline Entegrasyonu
- Security Gate: GitHub Actions, GitLab CI içinde taramayı "Zorunlu Adım" yapma.
- Exit Code Logic: Zafiyet seviyesi "CRITICAL" ise Pipeline'ı anında "Failed" durumuna düşürme.
- Developer Feedback: Hataları otomatik olarak geliştiricinin Pull Request'ine (PR) yorum olarak yazdırma.
Trivy Operator (In-Cluster)
- Otonom Tarayıcı: Trivy Operator'u Kubernetes ortamına kalıcı bir bekçi olarak kurma.
- VulnerabilityReports CRD: Zafiyet raporlarını doğrudan `kubectl get vulnerabilityreports` ile çekme.
- Auto-Scan: Kümeye eklenen yepyeni bir Pod'u anında yakalayıp analiz etme mekanizması.
Raporlama ve SIEM Entegrasyonu
- Custom Templates: HTML formatında ve şirket logolu estetik güvenlik raporları (Go-template) oluşturma.
- JSON Export: Sonuçları JSON formatında dışarı aktarıp SIEM (Splunk, ELK) ortamlarına besleme.
- Prometheus Metrics: Güvenlik açıklarını bir metrik olarak izleyip Grafana üzerinden Dashboard kurma.
Eğitim Metodolojimiz
- The Pipeline Shield (Laboratuvar): Katılımcılar bir GitHub Actions boru hattını ele alır. İçinde "Critical Vulnerability" veya "AWS Secret" barındıran her kodu "Reject" edecek (reddedecek) aşılmaz bir güvenlik kapısı kodlarlar.
- IaC Sabotage Demosu: Terraform kodlarına kasıtlı olarak eklenmiş kötü niyetli "Herkese Açık (Public)" S3 Bucket konfigürasyonlarını, Trivy Misconfig taramasıyla otomatik bulup düzeltme (Remediation) seansı yapılır.
- SBOM Dedektifliği: Karmaşık bir mikroservis mimarisinin SBOM dökümü alınır. Gözle görülmeyen, derinlerde (Transitive) yatan hatalı bir Log kütüphanesini (Örn: Log4j benzeri) saniyeler içinde tespit etme pratikleri gerçekleştirilir.
Hedef Kitle
DevSecOps Mühendisleri
Yazılımın canlıya çıkmadan önceki süreçlerine güvenlik otomasyonları (Pipeline) eklemek ve "Güvenlik Duvarını (Shift Left)" erkenden kurmak isteyenler.
Platform & SRE Mühendisleri
Canlıdaki (Production) Kubernetes cluster'larının ne kadar güvenli olduğunu Trivy Operator ve Grafana entegrasyonuyla 7/24 izlemek isteyen uzmanlar.
Yazılım Geliştiriciler
Güvenliği "Yazılım bittikten sonra IT'nin çözdüğü bir iş" olarak görmeyip, kendi kütüphanelerini SBOM ile kendi klavyesinde denetleyen vizyonerler.
Siber Güvenlik Analistleri
Eski nesil ağ bazlı güvenlikten ziyade, "Container" ve "Infrastructure as Code" mimarilerindeki zafiyetleri ve CVE risk yönetimini öğrenmek isteyenler.
Katılımcılardan Beklentilerimiz
- Docker Temelleri: İmaj, Container, Layer (Katman) gibi kavramların teorik bilgisine sahip olmak (Sıfırdan Zirveye Docker eğitimi alınmış olması tavsiye edilir).
- Terminal ve Komut Bilgisi: Linux terminalinde dosya dizinlerinde gezme ve komutları pipe (`|`) ile bağlama konularına temel düzeyde aşinalık.
- CI/CD Mantığı: GitLab CI, GitHub Actions veya Jenkins gibi sistemlerde kodun nasıl derlenip yayınlandığına (Pipeline) dair genel vizyon.
Trivy CLI örnekleri, SBOM (CycloneDX) üretimi ve CI/CD Security Gate (Github Actions) otomasyon kodları.
Tedarik Zinciri: SBOM Çıkarma
İmajın içerisindeki tüm bağımlılıkların (Library/OS) CycloneDX formatında dökümünün alınması (Nüfus Cüzdanı).
# Adım 1: İmajın SBOM dökümünü oluştur ve JSON olarak kaydet
trivy image --format cyclonedx --output my-app-sbom.json mycompany/frontend:v1.2
# Adım 2: Çıkarılan bu SBOM envanterini GÜVENLİK (CVE) açısından tara
trivy sbom my-app-sbom.json --severity CRITICAL,HIGHTerraform Konfigürasyon Taraması
Bulut altyapısını kodla oluşturmadan önce (Shift-Left), kodlardaki mantıksal (Örn: Public S3) açıkların tespiti.
# Bulunduğun dizindeki Terraform (*.tf) veya Kubernetes (*.yaml) kodlarını tara
trivy config ./infrastructure-codes/
# Yalnızca belirli hatalara (Örn: AWS S3 Public) odaklanarak rapor üret
trivy config --severity HIGH,CRITICAL --include-namespaces aws ./terraform-files/GitHub Actions: Build'i Reddetme
Pipeline içinde Trivy çalıştırıp; "Eğer Kritik (CRITICAL) hata bulursan süreci hemen Fail et (exit-code 1)" mantığı.
jobs:
security-scan:
runs-on: ubuntu-latest
steps:
- name: Code Checkout
uses: actions/checkout@v3
- name: Run Trivy Vulnerability Scanner
uses: aquasecurity/trivy-action@master
with:
image-ref: 'mycompany/frontend:${{ github.sha }}'
format: 'table'
# Hata yoksa 0 döner (Geçer), Kritik bulursa 1 döner (Süreci İptal Eder)
exit-code: '1'
ignore-unfixed: true
severity: 'CRITICAL'Aradığınız Eğitimi Bulduğunuzu Düşünüyorsanız!
Kurumsal eğitim programlarımız, sektörün en güncel ve kritik teknoloji trendlerinde yetkinlik kazanmanız amacıyla lider seviyede yapılandırıldı. Küresel 1-10 değerlendirme sistemlerinde 9.5 ve üzeri memnuniyet puanı alan eğitim içeriklerimiz, ekibinize pratik yetkinlik kazandırmak için tasarlandı.
25 yılı aşkın eğitim sektörü birikimimizi, küresel savunma sanayii ve kurumsal DevOps/Siber Güvenlik danışmanlığı tecrübelerimizle harmanlıyoruz. Ekiplerinizin ihtiyaç duyduğu pratik becerileri, tamamen kuruma özel özgün laboratuvar senaryolarıyla destekleyerek sunuyoruz.
Eğitimin ardından tüm katılımcılara özel GitHub depoları üzerinden hazır çalışma ortamları (labs) ve hayat boyu erişebilecekleri dokümantasyon kütüphanesi açılmaktadır. Kurumsal hedeflerinizi uzmanlığımızla gerçeğe dönüştürün.
Eksiksiz Eğitim Kataloğu
Hands-on Kurumsal Eğitim, Workshop ve Turquality Programları
Tüm eğitimlerimiz, 35 yıllık mühendislik deneyiminin süzgecinden geçmiş, tamamen gerçek dünya senaryolarına (Case Study) dayalı ve hands-on (uygulamalı) olarak sunulmaktadır. Materyaller Git üzerinden dinamik olarak paylaşılır ve katılımcı ihtiyaçlarına göre özelleştirilmiş danışmanlık katmanı içerir.
Yapay Zeka, Üretken AI ve AGI Stratejileri
Genel Yapay Zeka (AGI) vizyonundan otonom ajan mimarilerine, kurumsal RAG ve Fine-Tuning stratejilerinden açıklanabilir AI standartlarına uzanan derinlemesine programlar.
DevOps, Kubernetes ve Platform Otomasyonu
Cloud-native altyapıların kurulumu, orkestrasyonu ve yönetiminde endüstriyel standartlar (NIST, CNCF) ile yüksek erişilebilirlik çözümleri.
Siber Güvenlik, DevSecOps ve Defansif Teknolojiler
Yazılım yaşam döngüsünün her aşamasında güvenlik (Security by Design), siber farkındalık ve kurumsal SOC operasyonları uzmanlığı.
Blockchain, Web3 ve Akıllı Sözleşme Geliştirme
Merkeziyetsiz internet (Web3) ekosisteminde; DAO yapıları, NFT mülkiyeti ve Solidity ile güvenli kontrat geliştirme uzmanlığı.
Yazılım Mimarisi, Big Data ve Veri Yönetimi
Event-driven sistemler, mikroservis modernizasyonu ve yüksek trafikli projelerin mimari tasarımı ve optimizasyonu.
Mikroservis Yazılım Üretimi ve Programlama Dilleri
Çok dilli (Polyglot) geliştirme ortamlarında mikroservis tasarımı, asenkron programlama ve temiz kod standartları.
Proje Yönetimi, Agile ve SAFe Metodolojileri
Kurumsal çevikliğin (Business Agility) sağlanmasında; Scrum, Kanban ve SAFe framework'lerinin uygulanması ve PMP standartları.
Teknik Workshop ve Derin Dalış (Deep Dive) Seansları
Spesifik mühendislik problemlerine odaklanan, kısa süreli ancak yoğun uygulama içeren laboratuvar çalışmaları.
Turquality ve Kurumsal Gelişim Programları
Globalleşen kurumlar için Turquality standartlarında teknoloji modernizasyonu, dijital dönüşüm ve stratejik yönetim eğitimleri.
Tüm Workshoplar Sizin İçin Özel Hazırlananan Kurumsal Workshoplarımız
Workshoplar konuların 360 derece açıdan ele alındığı, konuların derinlemesine işlendiği, handsonlar ile katılımcıların birlikte çalışma fırsatı bulduğu en kapsamlı eğitim formatımızdır.
Tüm Seminerlerimiz Sizin İçin Özel Hazırlananan Kurumsal Seminerlerimiz
Tüm seminerlerimiz sizin senaryolarınız ve ihtiyaçlarınız için size özel hazırlanır. Katılımcı profiline uygun özel örnekler ve katılımı teşvik edecek özel içerikler ile zenginleştirilir.