Курс переработан
Научитесь встраивать безопасность в CI/CD и процесс разработки
31 августа
Professional
5 месяцев
Онлайн
Пн/Ср 20:00 Мск

Курс помогает перейти от проверки безопасности в конце релиза к DevSecOps-подходу: проверки встроены в разработку, CI/CD и эксплуатацию.
Вы разберете, как находить уязвимости раньше, подключать ИБ-инструменты к пайплайну и выстраивать общий процесс между разработкой, DevOps и безопасностью.
DevSecOps нужен командам, где релизы выходят часто, а безопасность нельзя оставлять только на финальную проверку.
Подход помогает находить уязвимости раньше, автоматизировать часть проверок и сделать безопасность общей задачей разработки, DevOps и ИБ.
Занятия проходят онлайн в формате живых вебинаров. Предзаписанных уроков нет: вы учитесь вместе с группой, задаете вопросы и разбираете практические примеры.
Выполняйте задания по OWASP, GitLab CI, SAST, Docker, Kubernetes и WAF. Так вы увидите, где проверки безопасности встраиваются в пайплайн.
Задавайте вопросы на занятиях и в чате курса. Преподаватели помогут разобрать ошибки, домашние задания и практические кейсы.
В финале курса подготовите проект по внедрению DevSecOps или анализу приложения на уязвимости и защитите его перед преподавателем.
Курс помогает показать DevSecOps-навыки предметно: через итоговый проект, домашние задания и опыт работы с CI/CD, OWASP, SAST, DAST, Docker, Kubernetes и WAF. После обучения вы можете разместить резюме в базе OTUS. Партнеры могут связаться с вами, если ваш профиль подойдет под их запрос. Это не гарантия трудоустройства или собеседования.
Занятия проходят онлайн 2 раза в неделю. На вебинарах преподаватели разбирают темы курса, показывают практические примеры и отвечают на вопросы группы.
Вы выполняете домашние задания по DevSecOps-инструментам и подходам: от OWASP и CI/CD до Docker, Kubernetes, WAF и анализа уязвимостей.
Вопросы можно задавать на занятиях и в чате курса. Преподаватели дают обратную связь по заданиям и помогают разобраться со сложными темами.
В этом модуле будут рассмотрены основополагающие моменты ИБ. Поговорим о стандартах ИБ и принципах обеспечения ИБ как процесса.
Тема 1: Введение в курс. Термины, стандарты и методики ИБ
Тема 2: Введение в РБПО
Тема 3: Нормативно-правовые акты РБПО
Тема 4: Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры
Изучим и обсудим классификацию уязвимостей по методологии OWASP.
Тема 1: Разбор уязвимостей OWASP Top 10 Web // ДЗ
Тема 2: Разбор уязвимостей OWASP Top 10 - REST API // ДЗ
В данном разделе вы освоите построение безопасного конвейера непрерывной интеграции и поставки с учётом требований регуляторов и практик информационной безопасности.
Тема 1: Обеспечение безопасности CI/CD тулчейна и DevOps процесса // ДЗ
Тема 2: Обзор DevSecOps инструментария // ДЗ
Тема 3: Анализ исходного кода на безопасность (SAST/ DAST/IAST) // ДЗ
Рассмотрим уязвимости в исходном коде. Рассмотрим также, почему важно не полагаться на сторонние средства безопасности. Обсудим влияние кода на конечный продукт.
Тема 1: Безопасная разработка в HTML/CSS и PHP // ДЗ
Тема 2: Безопасная разработка в Java/Node.js // ДЗ
Тема 3: Безопасная разработка в .NET
Тема 4: Безопасная разработка в Python // ДЗ
Тема 5: Безопасная разработка и уязвимости программного кода // ДЗ
Тема 6: Безопасная разработка в Ruby // ДЗ
Тема 7: Безопасная разработка Kotlin
Тема 8: Q&A. Сессия вопросов и ответов
Рассмотрим контейнеры — best practices современной разработки. Поговорим о безопасности контейнерных сред.
Тема 1: Обеспечение безопасности в ОС Linux
Тема 2: Введение в Docker
Тема 3: Работа с данными и сетями в Docker
Тема 4: Сборка и оптимизация Docker-образов
Тема 5: Обеспечение безопасности в Docker контейнерах // ДЗ
Тема 6: Основные компоненты Kubernetes // ДЗ
Тема 7: Kubernetes. Практика
Тема 8: Обеспечение безопасности в Kubernetes // ДЗ
Тема 9: Обеспечение безопасности ОС Windows
Рассмотрим безопасность разработки, ее роль в процессе. Обсудим роль специалиста ИБ в процессе разработки.
Тема 1: Применение защиты для REST-API внутри микро-сервисных приложений и на back-end // ДЗ
Тема 2: Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection // ДЗ
Тема 3: Q&A. Сессия вопросов и ответов
Тема 4: Современные средства периметральной безопасности сети (NGFW/Sandbox) // ДЗ
Тема 5: Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)
Тема 6: Инструменты для мониторинга событий ИБ (SIEM / SOAR) и обработки результатов проверок (ASOC) // ДЗ
Тема 7: Моделирование угроз и тестирование на проникновение // ДЗ
Тема 8: Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
Тема 9: План проекта и методика трансформации организации в DevSecOps
В данном модуле будут рассмотрены навыки межличностного общения, коммуникации и управления.
Тема 1: Soft skills
Проектный модуль — время для реализации своего проекта. Заключительный этап большого пути перед выходом в мир
Тема 1: Выбор темы и организация проектной работы // Проект
Тема 2: Консультации и обсуждения проектной работы
Тема 3: Защита проектов
Примеры выпускных проектов - читайте в нашем блоге:
Эксперты-практики делятся опытом, разбирают кейсы студентов и дают развернутый фидбэк на домашние задания
Бесплатный открытый вебинар – онлайн-занятие с преподавателем курса. На открытом вебинаре можно посмотреть, как проходит обучение, а ещё – узнать что-то ценное по интересующей теме. На занятии слушатели могут задавать ведущему вопросы
OTUS занимается лицензированной образовательной деятельностью. В конце обучения вы получите свидетельство о повышении квалификации
Стоимость в рассрочку