DevSecOps-Engineer-Zertifizierung — Shift-Left Security mit SAST, DAST, SCA, IaC-Scanning, Container-Security und Secrets-Management.
Geprüft von Admin Kursweg · Stand 25. Mai 2026
Was wird in diesem Kurs vermittelt
DevSecOps integriert Security in jeden Schritt der DevOps-Pipeline — von Code-Commit bis Production-Monitoring. Diese Engineer-Zertifizierung deckt das gesamte Spektrum ab. Themen: DevSecOps-Foundations (Shift Left, Security as Code, Continuous Security, Compliance as Code), Threat Modeling (STRIDE, PASTA, OWASP Threat Dragon, ThreatModeler) als Pre-Code-Aktivität, Secure Coding Standards (OWASP Top 10, SANS Top 25, CWE-Verständnis). SAST (Static Application Security Testing) — Tools wie SonarQube, Snyk Code, Checkmarx, Semgrep, GitHub CodeQL. Integration in Pipelines (PR-Checks, Quality Gates, Suppression Rules). DAST (Dynamic Application Security Testing) — OWASP ZAP, Burp Suite Enterprise, Invicti. Automatisierung in CI/CD mit Authenticated Scans, API-DAST (Schemathesis, 42Crunch). IAST (Interactive AST) Konzepte. SCA (Software Composition Analysis) — Snyk Open Source, Dependabot, Renovate, OWASP Dependency-Check für Vulnerable Dependencies. License Compliance (GPL vs. MIT vs. proprietär), SBOM (Software Bill of Materials, SPDX, CycloneDX). Container Security — Image Scanning (Trivy, Grype, Snyk Container), Base-Image-Härtung (Distroless, Chainguard Images, Wolfi), Image Signing (Cosign, Notary v2, Sigstore), Runtime Security (Falco, Sysdig Secure, Aqua, Twistlock), Kubernetes Security (Pod Security Standards, Network Policies, OPA Gatekeeper, Kyverno). IaC Security — Checkov, tfsec, Terrascan, KICS für Terraform/CloudFormation/ARM/Kubernetes Manifests. Secrets Management — HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, Detection mit gitleaks/trufflehog/GitHub Secret Scanning. CI/CD Security (Pipeline-Härtung, OIDC statt Long-Lived Credentials, Branch Protection, Required Reviews). Cloud Security Posture (CSPM mit Wiz, Lacework, Prisma, Defender for Cloud). Observability mit Security-Kontext (Datadog Security Monitoring, Sumo Logic, Splunk SIEM). Compliance-Automation (Open Policy Agent, AWS Config Rules, Azure Policy). Praktische Hands-on in GitHub Actions oder GitLab CI mit echten Pipelines. Examen mit Multiple Choice + Praxis-Szenario.
Marktdaten zu Verdienst, offenen Stellen und Zukunftsaussicht im Bereich IT & Informatik
Einstieg
38.000–48.000 €
0–2 Jahre Erfahrung
Mittel
52.000–68.000 €
3–7 Jahre Erfahrung
Senior
70.000–95.000 €
8+ Jahre / Lead-Rolle
124.000+
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Bei AZAV-zertifizierten Trägern ist die Kursgebühr regelmäßig zu 100 % förderbar.
GitHub Actions und GitLab CI als Hauptbeispiele; Konzepte sind auf Jenkins, Azure DevOps, CircleCI übertragbar.
Open-Source-Tools (Trivy, Semgrep, OWASP ZAP, gitleaks) sind kostenlos. Kommerzielle Tools (Snyk, Wiz) werden mit Trial-Accounts gezeigt.
Inhaltliche Überlappung, aber CSSLP hat eigenen Fokus (Secure SDLC). DevSecOps-Engineer ist praxisnäher.
Meist Practical DevSecOps (preisgekrönter Anbieter), GitOps-Foundation oder vendor-spezifisch (DevSecOps Engineer von Snyk).
Vorbereitung auf Microsoft-Zertifizierung AZ-801: Storage Spaces Direct, Failover Clustering, Hyper-V, Azure Site Recovery, hybride Active-Directory-Szenarien. Für Senior-Windows-Administratoren.
Vorbereitung auf die Microsoft-Zertifizierung MS-102 (M365 Administrator Expert): Microsoft Entra ID, Microsoft 365 Defender, Purview, PowerShell. Für Senior-Cloud-Administratoren.
Vorbereitung auf MD-102 Endpoint Administrator: Microsoft Intune, Endpoint Manager, Geräteverwaltung, Anwendungsverwaltung, Compliance. Für Windows-Client- und Mobile-Device-Administratoren.
Sag uns einmal Region, Format (online/präsenz), Zeit-Modell und Förderstatus — wir vergleichen für dich und melden uns mit 1–3 passenden Trägern. Kostenlos, unverbindlich.
Typischer Verlauf nach dem Kurs
Quellen: Bundesagentur für Arbeit · Engpassanalyse 2024/25 · StepStone Gehaltsreport 2025 · Bitkom Studie Fachkräftemangel 2024. Brutto-Jahresgehälter aus Erhebungen 2024/25, abweichend nach Region und Tarifgebundenheit.
Vorbereitung auf AZ-800: Windows Server Hybrid-Konfiguration mit Active Directory, Hyper-V, Group Policy, Azure File Sync. Für Windows-Administratoren mit Cloud-Wechsel.