Home
Consultoria
Treinamentos
Certificações
Calendário
Loja
Cheat Sheets
Quem somos
Contato

DevOps Ecosystem Exploits

Treinamento prático de segurança em CI/CD: identifique riscos, explore falhas reais e proteja pipelines contra ataques avançados.

Dificuldade

Carga horária

40 horas

Disponibilidade

Ao vivo via internet

Idioma

Português

Próximas turmas

Datas:

06/04/2026 - 17/04/2026

Horários:

19:00 - 23:00

Metodologia:

Online

Investimento:

R$ 2.500,00 R$ 2.000,00

Inscreva-se aqui

Programa de estudos

  1. Enumeração de plataformas e pipelines de CI/CD (GitHub Actions, GitLab CI/CD, Azure DevOps e Jenkins)
  2. Mapeamento de runners, agentes, permissões, integrações e limites de confiança
  3. Identificação da superfície de ataque em pipelines e fluxos de automação
  4. Exploração de configurações incorretas (misconfigurations) em pipelines
  5. Encadeamento de falhas (attack chaining) dentro do CI/CD
  6. Abuso de automações e permissões excessivas
  7. Roubo e abuso de segredos em pipelines
  8. Extração e exploração de variáveis protegidas e mascaradas
  9. Ataques contra integrações com HashiCorp Vault
  10. Comprometimento de credenciais em container registries
  11. Envenenamento de artefatos de build
  12. Manipulação e comprometimento de imagens Docker e containers
  13. Ataques à cadeia de suprimentos (CI/CD supply chain)
  14. Exploração de OIDC e federation mal configurados
  15. Abuso de perfis e roles IAM na AWS
  16. Escalada de privilégios via pipeline
  17. Pivot de pipelines para ambientes em nuvem
  18. Movimento lateral para clusters Kubernetes e workloads cloud
  19. Hardening de pipelines com base em vetores reais de ataque
  20. Estratégias de isolamento de runners e proteção de ambientes
  21. Gestão segura de secrets e identidades
  22. Implementação de controles de segurança em GitHub Actions, GitLab, Azure DevOps e Jenkins
  23. Produção de relatório profissional de segurança em CI/CD com evidências, classificação de risco e recomendações
Sobre o treinamento
Habilidades
Requisitos

Treinamento avançado e 100% prático focado em segurança ofensiva e defensiva em pipelines de CI/CD. Os participantes aprendem a identificar superfícies de ataque, explorar falhas reais em automações, abusar de relações de confiança, comprometer artefatos, roubar segredos e realizar pivot para ambientes cloud — sempre com abordagem controlada de laboratório.

O ambiente hands-on inclui GitHub Actions, GitLab CI/CD, Azure DevOps e Jenkins, integrados a AWS, Docker, container registries, Kubernetes e HashiCorp Vault, simulando cenários corporativos reais. Durante o treinamento, os alunos executam ataques práticos contra pipelines vulneráveis e, na sequência, implementam contramedidas eficazes para blindar o ciclo de desenvolvimento.

Ao final, o participante estará apto a avaliar a maturidade de segurança de pipelines, estruturar hardening baseado em riscos reais e produzir um relatório profissional de segurança em CI/CD, alinhado às melhores práticas de DevSecOps e aos principais vetores de ataque atuais.

Este treinamento tem por objetivo desenvolver as seguintes habilidades:

  • Identifica a superfície de ataque de CI/CD
  • Cadeia configurações incorretas de pipelines
  • Exploração de automações e limites de confiança
  • Proteção de pipelines contra atacantes reais
  • Conhecimento intermediário de Linux (terminal, permissões, processos, variáveis de ambiente)
  • Familiaridade com Git (clone, branch, merge, pull request)
  • Experiência básica com pelo menos uma plataforma de CI/CD (GitHub Actions, GitLab CI/CD, Jenkins ou Azure DevOps)
  • Noções de Docker (build, push, pull, imagens e containers)
  • Conhecimento básico de conceitos de cloud (IAM, roles, policies, autenticação)
  • Entendimento de variáveis de ambiente e gestão de secrets
  • Noções de redes (DNS, HTTP/HTTPS, TLS, autenticação)
  • Conceitos básicos de segurança ofensiva (privilégios, enumeração, escalation, pivoting)
  • Capacidade de leitura de logs e troubleshooting técnico

Instrutor

Helvio Junior

(M4v3r1ck)

Red Team Tech Lead e Criador da Sec4US Treinamentos, atua com os mais variados testes de segurança (Web, API, Mobile, Exploitation e etc...). Detentor das principais certificações de segurança do mercado: OSCE3 (OSEP + OSED + OSWE), OSCE, OSCP, eMAPT, eCXD, CEH

Saiba mais

Dúvidas mais frequentes

Condições para Confirmação e Alteração de Datas das Turmas

As datas das turmas divulgadas em calendário poderão ser alteradas caso não seja atingido o número mínimo de alunos necessário para a realização do treinamento.