Внедрение и работа в DevSecOps

Научитесь обеспечивать безопасность в непрерывном процессе разработки

 

27 ноября

Professional

5 месяцев

Онлайн

Пн/Ср 20:00 Мск

Для кого этот курс?

Наш курс подходит тем, кто хочет разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак 

А именно:

  • Разработчикам: освоите навыки безопасной разработки, сможете сделать вашу роль в команде более значимой
  • Девопс-инженерам и администраторам: научитесь обеспечивать безопасность инфраструктуры
  • Тестировщикам: сможете переквалифицироваться в специалиста по поиску уязвимостей
  • Архитекторам: взгляните на безопасность по-новому
  • ИБ-специалистам: сможете лучше понимать ландшафт киберугроз

Необходимые знания

  • Вы обслуживали приложения в CI и CD, использовали GitLab и Jenkins
  • Работали с Git: GitHub, GitLab
  • Работали с инструментами автоматизации конфигурации: Ansible, Chef

 

Партнер курса
Start X
Пройди вступительный тест и оцени свои знания

Что вам даст этот курс?

Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Интегрировать тестирование безопасности во все этапы разработки ПО – первостепенно важно для IT-специалиста

Вы научитесь:

  1. Переходить от модели «защита периметра» к модели «построение безопасности процесса разработки»
  2. Выявлять и устранять уязвимости на всех этапах: от проектирования архитектуры до вывода в production
  3. Интегрировать в CI/CD и использовать следующие ИБ-инструменты:
    • анализ возможных атак
    • проверку исходного кода на безопасность (SAST)
    • защиту для REST API внутри микросервисных приложений и на бэкенде
    • фаервол для веб-приложений (WAF)
    • межсетевые экраны нового поколения (NGFW)
    • ручное и автоматизированное тестирование на проникновение
    • мониторинг безопасности и реагирование на события в ИБ (SIEM)

Актуальность DevSecOps

Безопасность данных стала основной метрикой успешных бизнес-приложений и надёжным способом снизить репутационные риски. Те, кто могут обеспечить такую безопасность, – высокооплачиваемые и востребованные специалисты в крупных компаниях: Group IB, МТС, «Тинькофф Банк», «Лаборатория Касперского»

Процесс обучения

У нас нет предзаписанных уроков. 

Занятия в OTUS – это вебинары. Преподаватели-практики помогут погрузиться в теорию, обучат на реальных примерах, расскажут о необходимых в работе инструментах. Вы всегда сможете задать вопрос и получить обратную связь. 

И самое главное – сможете практиковаться!

Практикуйтесь

Приобретайте знания и навыки, которые пригодятся для обеспечения безопасности в автоматизированном DevSecOps-процессе

Перенимайте опыт профессионалов

Учитесь у ведущих специалистов по информационной безопасности с многолетним стажем

Будьте готовы ко всему

Изучите разнообразные типы атак, методы социальной инженерии и технические каналы утечки информации

Партнеры

Многие студенты еще во время прохождения первой части программы находят или меняют работу, а к концу обучения могут претендовать на повышение в должности. 


  • Разместите резюме в базе OTUS: так наши партнёры смогут пригласить вас на интервью

  • Получите помощь с оформлением резюме, портфолио и сопроводительного письма

  • Хорошо проявите себя на занятиях и получите возможность пройти собеседование у партнёров OTUS

Специалист по ИБ

Перспективы направления
Средний уровень зарплат в Москве:
90 000Junior+ специалист
170 000Middle+ специалист
260 000Senior специалист
1084
актуальные вакансии

Работодатели курса

Формат обучения

Интерактивные вебинары 


Два онлайн-урока по 2 академических часа в неделю, вечный доступ к учебным материалам

Практика

Выпускная работа усилит знания, а её хорошая защита – откроет новые карьерные возможности

Активное комьюнити

Общение на вебинарах и в закрытом телеграм-чате, развёрнутые ответы при проверке домашних заданий

Программа

Базис знаний информационной безопасности

В этом модуле будут рассмотрены основополагающие моменты ИБ. Поговорим о стандартах ИБ и принципах обеспечения ИБ как процесса

Тема 1: Введение в курс. Термины, стандарты и методики ИБ

Тема 2: Рынок ИБ: основные тенденции и инструменты для мониторинга

Тема 3: Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры

Обзор уязвимостей OWASP

Изучим и обсудим классификацию уязвимостей по методологии OWASP

Тема 1: Разбор уязвимостей OWASP Top 10 Web // ДЗ

Тема 2: Разбор уязвимостей OWASP Top 10 - REST API // ДЗ

Особенности разработки безопасного кода и использования фреймворков

Рассмотрим уязвимости в исходном коде. Рассмотрим также, почему важно не полагаться на сторонние средства безопасности. Обсудим влияние кода на конечный продукт

Тема 1: Безопасная разработка в HTML/CSS и PHP // ДЗ

Тема 2: Безопасная разработка в Java/Node.js // ДЗ

Тема 3: Безопасная разработка в .NET

Тема 4: Безопасная разработка в Python // ДЗ

Тема 5: Безопасная разработка и уязвимости программного кода // ДЗ

Тема 6: Безопасная разработка в Ruby // ДЗ

Тема 7: Безопасная разработка Kotlin

Тема 8: Q&A. Сессия вопросов и ответов

Разработка безопасных контейнерных и serverless приложений

Рассмотрим контейнеры - best practices современной разработки. Поговорим о безопасности контейнерных сред.

Тема 1: Обеспечение безопасности в ОС Linux

Тема 2: Введение в Docker

Тема 3: Работа с данными и сетями в Docker

Тема 4: Сборка и оптимизация Docker-образов

Тема 5: Обеспечение безопасности в Docker контейнерах // ДЗ

Тема 6: Основные компоненты Kubernetes // ДЗ

Тема 7: Kubernetes. Практика

Тема 8: Обеспечение безопасности в Kubernetes // ДЗ

Тема 9: Обеспечение безопасности ОС Windows

Интеграция и работа с инструментами ИБ в рамках DevSecOps

Рассмотрим безопасность разработки, ее роль в процессе. Обсудим роль специалиста ИБ в процессе разработки.

Тема 1: Обеспечение безопасности CI/CD тулчейна и DevOps процесса // ДЗ

Тема 2: Обзор DevSecOps инструментария // ДЗ

Тема 3: Анализ исходного кода на безопасность (SAST/ DAST/IAST) // ДЗ

Тема 4: Применение защиты для REST-API внутри микро-сервисных приложений и на back-end // ДЗ

Тема 5: Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection // ДЗ

Тема 6: Q&A. Сессия вопросов и ответов

Тема 7: Современные средства периметральной безопасности сети (NGFW/Sandbox) // ДЗ

Тема 8: Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)

Тема 9: Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR)

Тема 10: Моделирование угроз и тестирование на проникновение // ДЗ

Тема 11: Ручное и автоматизированное тестирование на проникновение (Penetration Testing)

Тема 12: План проекта и методика трансформации организации в DevSecOps

Тема 13: Soft skills

Проектный модуль

Проектный модуль - время для реализации своего проекта. Заключительный этап большого пути перед выходом в мир

Тема 1: Выбор темы и организация проектной работы // Проект

Тема 2: Консультации и обсуждения проектной работы

Тема 3: Защита проектов

Также вы можете получить полную программу, чтобы убедиться, что обучение вам подходит

Проектная работа

Заключительный месяц курса посвящён проектной работе: можете использовать собственный бизнес-кейс или взять учебную задачу. Чтобы получить свидетельство о повышении квалификации, вы защитите проект перед преподавателем

Примеры выпускных проектов - читайте в нашем блоге:

Преподаватели

Руководитель курса

Сергей Терешин

Специалист по решениям информационной безопасности

Антон Лукашов

Vulnerability Management Analyst

Финаносовый сектор

Даниил Носенко

Директор

Аутсорсинговая компания

Андрей Бирюков

Независимый эксперт по информационной безопасности, CISSP

Александр Горячев

Инженер по информационной безопасности инфраструктуры

BHFT

Алексей Федулаев

Руководитель направления автоматизации безопасной разработки

Wildberries

Анастасия Порхун

Специалист по информационной безопасности

Отдел безопасности сетевых приложений

Иван Понуровский

Специалист по информационной безопасности

ООО "Элкомсофт"

Станислав Шиков

Начальник отдела автоматизации, DevOps Engineer

ООО "Кодер"

Руслан Сафин

Senior DevOps Engineer

Эксперты-практики делятся опытом, разбирают кейсы студентов и дают развернутый фидбэк на домашние задания

Ближайшие мероприятия

Бесплатный открытый вебинар – онлайн-занятие с преподавателем курса. На открытом вебинаре можно посмотреть, как проходит обучение, а ещё – узнать что-то ценное по интересующей теме. На занятии слушатели могут задавать ведущему вопросы

План внедрения практик DevSecOps в команде
Филипп Игнатенко
Выявление ошибок и недостатков на этапе разработки ПО помогает избежать атак в будущем. Тот, кто не инвестирует в безопасность, в дальнейшем остается в проигрыше.

Программа урока:
- Узнаем о существующих видах анализа в DevSecOps.
Вы познакомитесь с различными методами анализа, которые применяются на этапах разработки для обеспечения безопасности приложений.

- Разберемся, чем отличаются разные виды анализа.
Поймете особенности статического, динамического и интерактивного анализов, а также их применение на практике.

- Подробнее рассмотрим один из самых популярных инструментов статического анализа.
Изучите функционал и возможности инструмента, который широко используется в индустрии для обнаружения уязвимостей в коде.

- Составим этапы внедрения практик DevSecOps в компании.
Получите пошаговый план трансформации процессов разработки с акцентом на безопасность.

Урок будет полезен: DevOps-инженерам, разработчикам и тестировщикам ПО, специалистам по информационной безопасности

В результате урока вы:
- Узнаете о самых популярных видах анализа и наиболее известных инструментах DevSecOps. Это позволит вам выбрать подходящие инструменты для вашей команды.

- Спланируете и наметите основные вехи трансформации деятельности команд в русло безопасной разработки. Сможете начать внедрение DevSecOps-практик в вашей организации с четким пониманием шагов и ожидании
...
5 ноября в 17:00
Открытый вебинар
Обеспечение безопасности в Docker-контейнерах
Иван Понуровский
Безопасность в Docker-контейнерах важна для защиты данных, предотвращения атак и обеспечения стабильности приложений в изолированной среде.

Программа урока:
- Познакомимся с основными векторами атак на Docker-контейнеры.
- Узнаем лучшие практики по улучшению безопасности контейнеров.

Урок будет полезен: специалистам по информационной безопасности, DevOps, DevSecOps.

В результате урока вы:
- Повысьте свою осведомленность об основных уязвимостях Docker-контейнеров.
- Узнаете о рекомендациях и техниках, позволяющих повысить защищенность.
...
19 ноября в 17:00
Открытый вебинар

Прошедшие
мероприятия

Даниил Носенко
Открытый вебинар
Безопасная разработка на Python
Сергей Терешин
Открытый вебинар
Трансформация деятельности компании в методологии DevSecOps
Для доступа ко всем прошедшим мероприятиям необходимо пройти входное тестирование
Возможность пройти вступительное тестирование повторно появится только через 3 дня
Результаты тестирования будут отправлены вам на email, указанный при регистрации.
Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!

Корпоративное обучение для ваших сотрудников

OTUS помогает развивать высокотехнологичные команды. Почему нам удаётся это делать успешно:
  • Курсы OTUS верифицированы крупными игроками ИТ-рынка и предлагают инструменты и практики, актуальные на данный момент
  • Студенты работают в группах, могут получить консультации не только преподавателей, но и профессионального сообщества
  • OTUS проверяет знания студентов перед стартом обучения и после его завершения
  • Простой и удобный личный кабинет компании, в котором можно видеть статистику по обучению сотрудников
  • Сертификат нашего выпускника за 5 лет стал гарантом качества знаний в обществе
  • OTUS создал в IT более 120 курсов по 7 направлениям, линейка которых расширяется по 40-50 курсов в год

Отзывы

Вячеслав Postemskiy

20.09.2024
Курс понравился. Грамотные и терпеливые преподаватели, интересные и полезные занятия и домашние задания, удобная техподдержка. В процессе прохождения курса у меня даже получилось оперативно применить новые знания в работе. После занятия по безопасности разработки на Python у меня получилось использовать рекомендацию, описанную на занятии для устранения уязвимости, обнаруженной статическим анализатором. Больше всего на курсе мне понравилось выполнять домашние задания на интересные темы. К заданиям предусмотрены подробные инструкции и это большой плюс. На курсе компетентные и лояльные преподаватели, которые дают развёрнутую обратную связь при проверке домашних заданий. Для меня самыми полезными были уроки, на которых рассматривались проблемы безопасности в языках программирования и способы их митигации. Ещё понравились занятия с упоминанием конкретных инструментов DevSecOps.

Антон Болгов

27.08.2024
В общем и целом курс понравился. Курс помог освежить знания и приобрести новые в рамках ИБ и devsecops инструментов и методов работы с ними. Больше всего понравились темы связанные с практической работой и инструментами devsecops, контейниризация SAST, DAST работу по настройки безопасного gitlab ci пайпалайн, что как раз пригодилось в рабочих задачах. Знания с данного курса помогли узнать о данных инструментах и в последствии реализовать в рабочих кейсах. По поводу совета друзьям или коллегам, я бы его посоветовал тем кто только начинает знакомиться с тематикой devsecops и не имеет никакого проф образования в данном направления. Для тех, у кого уже есть опыт и знания в сфере ИБ особенно интересно будет изучать вторую часть курса, где преподаватели рассказывают про инструменты и методологии подхода в devsecops

Нурбек

27.08.2024
На курсе мне всё очень понравилось! Учебный материал был полезным, я узнал много нового для себя. Особенно хочу отметить замечательных преподавателей Сергея Терешина и Анастасию Порхун. Курс отлично подходит для изучения настроек и работы 1С, поэтому обязательно бы порекомендовал его коллегам и друзьям. Занятия по Docker и kubernetes мне понравились больше всего.

Алексей Нетёса

03.07.2024
Курс "Внедрение и работа в DevSecOps" помог мне в получении новых знаний, а также на практике изучить новые инструменты для обеспечения безопасной разработки. Очень понравилось разнообразие практических заданий по широкому кругу вопросов безопасности, а также привлечение опытных преподавателей. Для себя открыл много новых интересных тем, куда можно двигаться и развиваться дальше в профессиональном плане. Хотелось бы, чтобы в курсе было больше практических заданий в части работы с инструментами DevSecOps.

Егор

06.05.2024
Данный курс позволил освоить методологии и инструменты DevSecOps. Курс дал как теоретические знания, так и практические, благодаря домашним заданиям по пройденным темам. Если у кого-то возникали какие-то вопросы или сложности с домашними заданиями, то ему оперативно отвечали в чате руководитель курса или сами преподаватели. Понравилось то, что в курсе нет строгих дедлайнов по выполнению каждой работы, есть только срок до конца курса, даже после сдачи проектной работы. Данный момент очень важен, так как с работой не всегда получается совместить выполнение домашних работ по времени. В курсе понравилось то, что их ведут практикующие специалисты, которые могут ответить не только на то, что написано в лекции, но и на сопутствующие вопросы по теме. Благодаря изученному материалу, смог перенять какие-то изученные практики и инструменты в компанию, в которой работаю, что было отражено в заключительной проектной работе. Из плюсов можно также отметить то, что после защиты проектной работы получаешь официальный сертификат о прохождении обучения, и доступ к материалам курса не закрывается после его завершения.

Ильдар Каримов

25.06.2023
Отус, лично у меня, стал неким пропуском в DevSecOps. В далеком 2013 году я устроился в компанию, создал отдел ИБ и проработал администратором ИБ 3 года, дослужился до зама руководителя ИБ, не принял должность и ушел в медицинский стартап. Работая в стартапе потерял квалификацию на 80% и был вынужден искать новую работу. В это время строил VPN в иранской организации. Именно там сильно прокачал свои навыки в linux и сетях, подтянул чуть ИБ, а в октябре 2020 опять вернулся в свою компанию, но уже методологом ИБ, а затем и руководителем ИБ. Как руководитель, я понимал, что мне важно понимать DevSecOps направление и бывшие коллеги как раз порекомендовали курс в Отус. В своей день рождения объявил директору, что подумал и все-таки хочу быть devsecops-инженером. Когда мою кандидатуру согласовали, я начал лабораторные задания курса реализовывать у себя на работе, в результате развернул sonarqub, trivy, owasp zap (локально), defectdojo, локальный jekins, локальный gitlab. К сожалению, на данный момент далеко не все идеально и не в автоматическом режиме, работы много (как и писал в своем дипломном проекте) и это я все делаю в одиночку. Но именно наличие обучения сыграло дополнительным весом в сторону утверждения моей кандидатуры. У меня есть огромное желание развиваться в этом направлении, это прибыльная и интересная сфера. Сейчас я анализирую средства RASP, Lint, много непонятного как, куда, в какой момент, но именно это и движет мной. На курсе у меня была боевая практика, которая расставила все на свои места. Отусу могу сказать только спасибо за курс, который я прошел. Зона роста у курса devsecops - это больше практики, именно лабораторки, как в университете. Я думаю можно прям онлайн, когда преподаватель сидит и смотрит все мониторы учащихся, а затем прорабатывает проблемные моменты.

Алексей Добшиков

24.10.2022
На курсе "Внедрение и работа в DevSecOps" меня заинтересовала программа обучения. Ранее мне не приходилось работать с инструментами и процессами ИБ для проверки приложений. Поэтому уже с первых дней занятий стало понятно, что есть что изучать. Создатель курса и весь преподавательский состав помогли разобраться с программой и выполнить итоговый проект. В итоге я научился работать с новыми инструментами для анализа уязвимостей web-приложений, тестированием образов, открыл для себя новую терминологию Курс был мне полезен. Сейчас я применяю практики DevSecOps в компании улучшая уже существующие процессы CI/CD.

Дмитрий Харламов

25.09.2022
Я работаю Release Engineer в компании Exness и в моем багаже 16 лет стажа в ИТ от сисадмина до Team Leader DevOps team Всегда так или иначе сталкивался с безопасностью (статик анализаторы, защита периметра, PSI DSS и HIPA compliance). Хотел упорядочить знания и исследовать темную сторону. В компании Exness всех массово отправляли учится и дали на выбор список курсов. Я сомневался между devsecops, python разработчик и что-то про эффективных менеджеров. Выбрал то, с чем чаще сталкивался. Курс очень специфический и требует не мало базовых знаний, а порой даже расширенных в различных областях. Тема сложная и довольно объемная, так как безопасность требует погружения во многие аспекты, но времени для погружения во все не хватает. Мне не хватило каких-нибудь тренировочных стендов, заданий со звездочкой, реальных примеров (в виду специфики курса, потому что нельзя о многих вещах рассказывать, чтобы не скомпроментировать безопасность). Но курс дает очень хорошую базу, обзор типовых инструментов и методов, что помогает в дальнейшем развитие и показывает векторы, в которых можно развиваться. Еще, к сожалению, не удалось поработать с более сложными штуками, такими как например SIEM системы, сетевым оборудованием или возможно подготовленными стендами для попыток атак/защиты. Также на курсе довольно высокий порог вхождения, а обучение проходит по вечерам (после целого рабочего дня + когда дети дома) было тоже весьма утомительно. Спасало только то, что преподаватели действительно увлечены этой темой и рассказывали интересно, порой задерживаясь сверх запланированного времени. Огромный респект всем преподавателям, которые могут адаптироваться к текущим условиям (санкции и уход различных фирм), способны простыми словами рассказывать о сложном и подбадривать на протяжении всего курса! Это правда титанический труд. Обучение помогло упорядочить мои знания, понять боль безопасников, взглянув на проблемы безопасности их глазами. Ну и дало возможность изучить то, на что у самого не хватало сил и времени. За новой должностью не гнался, хотя после получения сертификата появилось несколько предложений, да и в целом я уже мог свободно двигаться в этом направлении. Просто у меня были другие цели

Михаил Пышкин

23.09.2022
Отличный курс, опытные преподаватели-практики и хорошо подобранная программа. Получил огромное удовольствие от курса и увлекательных упражнений. Спасибо всем причастным!

Станислав Шестов

08.09.2022
До обучения работал системным администратором в государственной организации. Параллельно проходил курсы по этичному хаккингу в учебном центре "Специалист", а также регулярно решал задачки на платформах Hack The Box и TryHackMe Меня заинтересовало направление безопасной разработки. С процессом тестирования приложений на уязвимости я уже был знаком, а вот о том, как обеспечивается безопасность в процессе разработки приложений, представления не имел. В процессе обучения понравилась открытость преподавателей, их готовность в ведению дискуссии, высокий уровень профессионализма преподавательского коллектива. Также в положительную сторону я бы отметил актуальность большей части материала и доступность его изложения. Гибкий сроки сдачи отчётностей и возможность получить доступ к материалам в любой момент времени позволили более качественно планировать свое время. Очень хотелось бы, чтобы появилось продолжение курса с материалом более высокого уровня - с удовольствием записался бы на занятия Самое основное, что я приобрёл по итогам обучения- это базовые знания и навыки в этой области, знакомых со схожими интересами и дальнейшее направление развития.

Денис Ивохин

27.02.2022
Добрый день уважаемы Otus! Спасибо большое за курс, за подачу, за очень обширную базу, информацию по курсу, которe. вы предоставили, за профессиональных преподавателей! Позвольте попросить Вас рассмотреть, подобные курсы, но уже с более глубоким погружением, например в SAST/DAST/IAST; WAF; SIEM; именно инструментов opensource! Спасибо!

Artem Kazakov

26.02.2022
Выражаю благодарность Сергею за организацию такого курса. Тема не развита в у нас в стране, и он один из первопроходцев в сфере обучения в этой специфики, это огромная работа. Также хочу отметить Филиппа Игнатенко, как профессионала своего дела и компетентного специалиста, который знает о чем говорит. Платил за курс из своего кармана и не жалею. Конечно курс сыроват, но надо понимать, что это первые шаги в истории обучения DevSecOps в РФ. Зачем делать занятие по SQLI и кидать в ДЗ чит лист по инъекциям - типо делай сам, я не понимаю такой подход. Однако я понимаю реалии и не вчера родился. Сам хотел помочь бы Вам в развитие, так как сам с командой веду сайт itsecforu.ru полностью на некоммерческой основе для развития ИБ у нас в стране. Я всегда на связи и могу помочь и посодействовать Вам в чем смогу, друзья! Респект

Сертификат о прохождении курса

OTUS занимается лицензированной образовательной деятельностью. В конце обучения вы получите свидетельство о повышении квалификации

После обучения вы: 

  • получите доступ к обучающим материалам: видеозаписям вебинаров, презентациям к занятиям
  • получите свидетельство о повышении квалификации и сертификат OTUS об окончании курса
  • повысите собственную конкурентоспособность

Частые вопросы

Что, если в середине курса я не смогу продолжать обучение?
У вас есть право одного бесплатного трансфера в другую группу
Обязательно ли защищать выпускной проект?
Для получения сертификата OTUS необходимо сдать проект. Кроме того, проект необязательно защищать перед аудиторией, а можно сдать в чате с преподавателем.
Я могу вернуть деньги?
Да, вы можете сделать возврат средств пропорционально оставшимся месяцам обучения.