Školenia a workshopy
Praktické školenia pre vývojárov, architektov a ľudí z bezpečnosti. Cieľ je jednoduchý: aby tím vedel nové poznatky použiť hneď v kóde, pri kontrole kódu a v procese vývoja.
Preferujem na mieste (EU, CET/CEST), viem aj online.
Formáty
Školenie (prednáškové)
- Ideálne pre väčšie skupiny
- Dôraz na pochopenie, typické chyby, rozhodovanie v praxi
- Príklady z reálneho vývoja a bezpečnostných nálezov
Workshop (praktický)
- Menšie skupiny, viac interakcie a cvičení
- Praktické úlohy (analýza, návrh mitigácií, kontrola kódu)
- Priestor na pomoc a diskusiu k vašim príkladom
Základné programy
1) OWASP Top 10 v praxi (web/API)
Pre vývojárov: pochopenie zraniteľností (OWASP Top 10) a najmä opravy a vzory pre kód, kontrolu kódu a CI/CD — pri školení formou prednášky, pri workshope aj prakticky v cvičných laboch.
- Pre koho
- vývojári (junior–medior), tech lead, ľudia z bezpečnosti
- Formát
- školenie alebo workshop
- Varianty
- 1 deň (základy) | 2 dni (do hĺbky + cvičenia)
- Skupina
- školenie 10–25 | workshop 6–12
- Predpoklady
- základy webu a HTTP, práca s API (stačí bežná prax)
- Signály v kóde a pri kontrole kódu: čo hľadať a prečo (Top 10 v praxi)
- Exploit → fix: krátke ukážky zneužitia iba na pochopenie dopadu
- Secure-by-default vzory (autentifikácia/autorizácia, validácia vstupov, spracovanie chýb, secrets, logging)
- Mitigácie a implementačné rozhodovanie (kompromisy, rozumné ochranné pravidlá v procese)
- Čo zaviesť do procesu a CI/CD ako minimálny bezpečnostný štandard
- Kontrolný zoznam pre kontrolu kódu (Top 10) použiteľný pri kontrole pull requestov
- Prehľad vzorov a bezpečných predvolených nastavení pre tím (vhodný do repa/wiki)
- Odporúčania, čo zaviesť do procesu (minimálny bezpečnostný štandard a ochranné pravidlá v procese + CI/CD)
2) OWASP WSTG workshop: metodika bezpečnostného testovania (web/API)
Pre bezpečnosť a testovanie: metodika systematického testovania, testovací plán, zápis nálezov a prioritizácia.
- Pre koho
- ľudia z bezpečnosti, senior vývojári, ľudia, ktorí sa venujú testovaniu a triáži nálezov
- Formát
- workshop
- Varianty
- 1 deň (základy metodiky) | 2 dni (praktické scenáre + triedenie nálezov)
- Skupina
- 6–10
- Predpoklady
- základ OWASP Top 10 alebo ekvivalent
- Pokrytie testami podľa metodiky WSTG: ako zostaviť testovací plán pre web/API
- Praktické testovacie prípady/scenáre (autentifikácia, autorizácia, relácie, vstupy, biznis logika, únik dát)
- Reprodukcia a dôkazy: jasné kroky, vstupy/payloady, požiadavka/odpoveď (HTTP), dopad
- Zápis nálezov: tak, aby boli čitateľné, porovnateľné a akčné
- Triedenie a preklad nálezov do úloh v backlogu (priorita, zodpovedná osoba, odporúčanie opravy)
- Testovací plán a kontrolný zoznam podľa WSTG pre váš typ aplikácie
- Šablóna na zápis nálezov (pripravená na implementáciu)
- Postup triedenia: ako z nálezu spraviť jasnú úlohu na opravu (pripravené do backlogu)
3) Bezpečný vývoj v praxi (SSDLC pre tímy)
- Pre koho
- tech lead, architekti, senior vývojári, ľudia z bezpečnosti
- Formát
- školenie alebo workshop
- Varianty
- 1 deň (základy) | 2 dni (procesy + praktické ochranné mechanizmy)
- Skupina
- školenie 8–20 | workshop 5–10
- Predpoklady
- znalosť vášho procesu vývoja (stačí bežná tímová prax)
- Minimálny štandard pre tím: autentifikácia, secrets, proces nasadzovania, zodpovednosti
- Praktické kontrolné body v CI/CD (čo dáva zmysel automatizovať)
- Modelovanie hrozieb bez byrokracie: rýchle rozhodovanie a prioritizácia
- Stručný dokument “minimálny štandard” (použiteľný do repa/wiki)
- Návrh ochranných mechanizmov do CI/CD (čo zaviesť a v akom poradí)
- Akčný plán: odporúčania s prioritou a zodpovednosťou
4) AI Security v praxi (pre engineering a security tímy)
Praktické školenie o bezpečnom zavádzaní LLM/AI funkcionality a o tom, kde AI reálne pomáha v AppSec a SOC workflowoch.
- Pre koho
- vývojári, architekti, ľudia z bezpečnosti, tech leadi
- Formát
- školenie alebo workshop
- Varianty
- 1 deň (základy) | 2 dni (deep dive + hands-on cvičenia)
- Skupina
- školenie 8–20 | workshop 5–10
- Predpoklady
- základné porozumenie LLM a API integráciám (stačí bežná prax)
- OWASP Top 10 for LLM Applications — praktické riziká mapované na reálne architektonické vzory
- Prompt injection: direct, indirect aj multi-step scenáre — ukážky útokov a obranné vzory
- Dátové úniky: context window exposure, extrakcia tréningových dát a cross-contamination v RAG pipeline
- Bezpečnosť RAG pipeline: access controls, segmentácia dokumentov a hardening embedding pipeline
- Output validation a content filtering — praktické implementačné vzory
- Bezpečné AI-assisted development workflowy: Copilot/Cursor, kontrola AI-generated code a supply chain riziká
- AI v security operations: kde LLM reálne pomáhajú pri triáži, enrichmente a analýze a kde nie
- Checklist pre bezpečnostnú revíziu LLM integrácií použiteľný pri architecture review aj code review
- Secure AI integration patterns pre váš stack (repo/wiki-ready)
- Šablóna risk assessmentu pre AI/LLM funkcionalitu
- Procesné odporúčania pre minimum, ktoré má prejsť AI feature security review
Školenie na mieru
Obsah viem upraviť na vaše technológie, architektúru, procesy a typické incidenty/nálezy.
Pred školením si prejdeme krátky kontext (napr. architektúra, typy služieb, aktuálne riziká), aby to nebola generická bezpečnostná prednáška.
- Krátky dotazník
- Voliteľná príprava vopred
- Výsledné materiály a praktické výstupy po školení
- materiály + zhrnutie “čo si odniesť”
- praktické kontrolné zoznamy a šablóny (podľa formátu)
- odporúčania priamo použiteľné pre tím
Cena a logistika
Ceny sú uvádzané ako balíky podľa formátu a dĺžky (napr. školenie na mieste na 1 alebo 2 dni, workshop vs. prednáškové školenie).
Pri školeniach na mieste sa logistika účtuje ako cestovný poplatok podľa lokality a dĺžky dopravy (prípadne ubytovania), bez marže.
V ponuke vždy uvediem finálnu cenu vrátane dopravy, aby nevznikali prekvapenia.