DevSecOps: внедрение и работа
⚡ Подписка на курсы OTUS!
Интенсивная прокачка навыков для IT-специалистов!
Подробнее

Курсы

Программирование
C# Developer. Professional PHP Developer. Professional Web-разработчик на Python PHP Developer. Basic Специализация PHP Developer
-25%
Алгоритмы и структуры данных Unreal Engine Technical Game Design C# ASP.NET Core разработчик Python Developer. Basic Базы данных Архитектура и шаблоны проектирования Python Developer. Professional Agile Project Manager JavaScript Developer. Basic React.js Developer C++ Developer. Professional Android Developer. Professional Android Developer. Basic Java Developer. Basic MS SQL Server Developer Framework Laravel Разработчик программных роботов (RPA) на базе UiPath и PIX Team Lead Специализация Java и Архитектор ПО Symfony Framework Программист С HTML/CSS C++ Developer. Basic
Специализации Курсы в разработке Подготовительные курсы Подписка
+7 499 938-92-02

Внедрение и работа в DevSecOps

Научитесь обеспечивать безопасность в непрерывном процессе разработки и продакшена.
Выбирайте и интегрируйте инструменты ИБ под свои процессы.

Длительность обучения:

4 месяца

4 ак. часа в нед.

Что даст вам этот курс

Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.

Для кого этот курс

Разработка инфраструктуры и стека приложений в непрерывном потоке изменений Agile DevOps требует непрерывной работы с инструментами ИБ. Традиционная модель безопасности с фокусом на защиту периметра больше не работает. В DevOps ответственность за обеспечение безопасности ложится на всех участников Dev[Sec]Ops процесса.

Курс предназначен для специалистов следующих профилей:

- Разработчиков
- DevOps инженеров и Администраторов
- Тестировщиков
- Архитекторов
- Специалистов по информационной безопасности
- Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.

Цель Курса

Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.

В рамках курса будут рассмотрены особенности защиты следующих видов приложений:

- Традиционные монолитные 2/3-Tier приложения
- Kubernetes приложения - в собственном ДЦ, Public Cloud (EKS, AKS, GKE)
- Мобильные iOS и Android приложения
- Приложения c REST API back-end

Будут рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ.

В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов.

Знания и навыки которые вы приобретете

- Переход от модели безопасности “защита периметра” к модели “защита всех слоев”
- Словарь, термины и объекты используемые в инструментах ИБ - CWE, CVE, Exploit и др.
- Основные стандарты, методики, источники информации - OWASP, NIST, PCI DSS, CIS и др.

А также научатся интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий:

- Анализ возможных атак (Threat Modelling)
- Статический анализ исходного кода на безопасность (SAST)
- Динамический анализ приложений на безопасность (IAST/DAST)
- Анализ использования стороннего и открытого программного обеспечения (SCA)
- Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, итп)
- Усиление конфигурации и патчинг (Configuration Hardening, Patching)
- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)
- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end
- Применение Web-Application Firewall (WAF)
- Межсетевые экраны нового поколения (NGFW)
- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
- Мониторинг безопасности и реакция на события в ИБ (SIEM)
- Криминалистическая экспертиза (Forensic Analysis)

Кроме того, тим-лидеры получат рекомендации о практике успешного внедрения DevSecOps:

- Как подготовить и успешно провести мини-тендер и PoC по выбору инструментов
- Как изменить роли, структуру и зоны ответственности команд разработки, поддержки, ИБ
- Как адаптировать бизнес-процессы продакт менеджмента, разработки, обслуживания, ИБ

Преподаватели

Сергей Терешин
Технический pre-sale специалист по Информационной безопасности, ООО "Монт"
Антон Лукашов
Vulnerability Management Analyst в Совкомбанк-Технологии
Владимир Камышанов
Руководитель отдела Систем управления событиями информационной безопасности, CISSP
Егор Литвинов
Анастасия Порхун
Филипп Игнатенко
Дмитрий Миндов
Сертифицированный специалист по решениям информационной безопасности от компании Check Point, McAfee, Group -IB, Microsoft.
Опыт в отрасли телеком/ИТ/ИБ более 14 лет.

10 лет проработал в телеком- операторе системы Транснефть в качестве инженера по ИТ, руководителя Регионального Центра Управления.
Спроектировал, внедрил концепцию централизованного управления сетью связи, обеспечил безопасность предложенного решения.

Участвовал в организации и проведении Чемпионата мира по футболу 2018 в Самаре в качестве руководителя группы технической поддержки.
Проектирует и внедряет комплексные архитектурные решения по ИБ для предприятий различных отраслей деятельности.

Закончил Поволжский Государственный Университет Телекоммуникаций и Информатики, 2007, Инженер по сетям связи и системам коммутации.

Опыт в информационной безопасности с 2018 года

Специализация:
- Контроль защищенности инфраструктуры
- Построение процессов управления уязвимостями для различных платформ (микросервисы и DevOps, Хостовые ОС, ОС сетевого оборудования, Mobile, DB, Virtualisation)
- Управление политиками и требованиями ИБ в рамках инфраструктуры и проектов разработки.

Занимаюсь безопасностью ИТ-инфраструктуры, 8 лет практического опыта, в т.ч. в телекоме и продуктовых компаниях.
Закончил Московский Институт Электронной Техники, 2013г, инженер, Защищенные Системы Связи.

С 2015 года работаю в области информационной безопасности. Основной фокус в области IoT/M2M/embedded устройств.
До этого более 7 лет занимался программирование микроконтроллеров, ПЛК; учавствовал в пуско-наладочных работах.
Знания в областях АСУ ТП, BMS (Building Management System), системы "Умный дом"

В индустрии с 2012 года.

Имеет опыт работы в телеком- и аутсорс- компаниях, с государственными структурами. Занимается проектированием и разработкой ПО, выстраиванием процессов CI/CD, а также исследованиями в сфере информационной безопасности.

Считаю, что программировать стоит с использованием языка, стек технологий необходимо продумывать под задачу, а безопасность должна обеспечиваться на всех этапах жизненного цикла ПО.

За 12 лет работы в ИТ успел поработать разработчиком, тестировщиком, devops и devsecops инженером в таких компаниях как НСПК (разработчик карты МИР), Лаборатория Касперского, Сибур и Ростелеком.
На данный момент я руководитель направления безопасной разработки в компании Degital Energy (группа компаний Ростелеком).

Мой практический опыт базируется на знании языков C#, F#, dotnet core, python, разработке и интеграции различных инструментов DevOps и DevSecOps практик (SAST/SCA, DAST/IAST, сканирование веб-приложений, инфраструктурный анализ, сканирование мобильных приложений).

Имею обширный опыт разворачивания и поддержки k8s-кластеров, работаю с облачными провайдерами. Провожу аудит безопасности и развертываю сервисные сетки. Являюсь автором собственных курсов по программированию, тестированию, реляционным и нереляционым базам данных, работе с облачными провайдерами и администрированию bare-metal серверов. Спикер международных конференций.

Специалист по информационной безопасности, более 6 лет опыта. Работал в крупных интеграторах, руководил отделом по информационной безопасности в одной из крупнейших нефтяных компании в мире. В данный момент занимаюсь исследованиями по безопасности в мировой компании, производителя телеком оборудования.

Сергей
Терешин
Антон
Лукашов
Владимир
Камышанов
Егор
Литвинов
Анастасия
Порхун
Филипп
Игнатенко
Дмитрий
Миндов

Преподаватели

Сергей Терешин
Технический pre-sale специалист по Информационной безопасности, ООО "Монт"
Сертифицированный специалист по решениям информационной безопасности от компании Check Point, McAfee, Group -IB, Microsoft.
Опыт в отрасли телеком/ИТ/ИБ более 14 лет.

10 лет проработал в телеком- операторе системы Транснефть в качестве инженера по ИТ, руководителя Регионального Центра Управления.
Спроектировал, внедрил концепцию централизованного управления сетью связи, обеспечил безопасность предложенного решения.

Участвовал в организации и проведении Чемпионата мира по футболу 2018 в Самаре в качестве руководителя группы технической поддержки.
Проектирует и внедряет комплексные архитектурные решения по ИБ для предприятий различных отраслей деятельности.

Закончил Поволжский Государственный Университет Телекоммуникаций и Информатики, 2007, Инженер по сетям связи и системам коммутации.

Антон Лукашов
Vulnerability Management Analyst в Совкомбанк-Технологии
Опыт в информационной безопасности с 2018 года

Специализация:
- Контроль защищенности инфраструктуры
- Построение процессов управления уязвимостями для различных платформ (микросервисы и DevOps, Хостовые ОС, ОС сетевого оборудования, Mobile, DB, Virtualisation)
- Управление политиками и требованиями ИБ в рамках инфраструктуры и проектов разработки.

Владимир Камышанов
Руководитель отдела Систем управления событиями информационной безопасности, CISSP
Занимаюсь безопасностью ИТ-инфраструктуры, 8 лет практического опыта, в т.ч. в телекоме и продуктовых компаниях.
Закончил Московский Институт Электронной Техники, 2013г, инженер, Защищенные Системы Связи.

Егор Литвинов
С 2015 года работаю в области информационной безопасности. Основной фокус в области IoT/M2M/embedded устройств.
До этого более 7 лет занимался программирование микроконтроллеров, ПЛК; учавствовал в пуско-наладочных работах.
Знания в областях АСУ ТП, BMS (Building Management System), системы "Умный дом"

Анастасия Порхун
В индустрии с 2012 года.

Имеет опыт работы в телеком- и аутсорс- компаниях, с государственными структурами. Занимается проектированием и разработкой ПО, выстраиванием процессов CI/CD, а также исследованиями в сфере информационной безопасности.

Считаю, что программировать стоит с использованием языка, стек технологий необходимо продумывать под задачу, а безопасность должна обеспечиваться на всех этапах жизненного цикла ПО.

Филипп Игнатенко
За 12 лет работы в ИТ успел поработать разработчиком, тестировщиком, devops и devsecops инженером в таких компаниях как НСПК (разработчик карты МИР), Лаборатория Касперского, Сибур и Ростелеком.
На данный момент я руководитель направления безопасной разработки в компании Degital Energy (группа компаний Ростелеком).

Мой практический опыт базируется на знании языков C#, F#, dotnet core, python, разработке и интеграции различных инструментов DevOps и DevSecOps практик (SAST/SCA, DAST/IAST, сканирование веб-приложений, инфраструктурный анализ, сканирование мобильных приложений).

Имею обширный опыт разворачивания и поддержки k8s-кластеров, работаю с облачными провайдерами. Провожу аудит безопасности и развертываю сервисные сетки. Являюсь автором собственных курсов по программированию, тестированию, реляционным и нереляционым базам данных, работе с облачными провайдерами и администрированию bare-metal серверов. Спикер международных конференций.

Дмитрий Миндов
Специалист по информационной безопасности, более 6 лет опыта. Работал в крупных интеграторах, руководил отделом по информационной безопасности в одной из крупнейших нефтяных компании в мире. В данный момент занимаюсь исследованиями по безопасности в мировой компании, производителя телеком оборудования.

Необходимые знания

Опыт работы с Git (GitHub, GitLab, и т.п.), обслуживания приложений в CI/CD (GitLab, Jenkins, и т.п.), работы с инструментами автоматизации конфигурации (Ansible, Chef, и т.п.).
Корпоративное обучение для ваших сотрудников
>
Программа обучения
В процессе обучения вы получите комплексные знания и навыки.
Тема 1. Словарь, термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности
Тема 2. Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры
Тема 3. Разбор уязвимостей OWASP Top 10 Web
Тема 4. Разбор уязвимостей OWASP Top 10 - REST API
Тема 5. Безопасная разработка в HTML/CSS и PHP
Тема 6. Безопасная разработка в Java/Node.js
Тема 7. Безопасная разработка в .NET
Тема 8. Безопасная разработка в Ruby
Тема 9. Безопасная разработка и уязвимости программного кода
C 8 ноября
Тема 10. Обеспечение безопасности в ОС Linux
Тема 11. Обеспечение безопасности в Docker контейнерах
Тема 12. Обеспечение безопасности в Kubernetes
C 24 ноября
Тема 13. Обеспечение безопасности CI/CD тулчейна и DevOps процесса
Тема 14. Обзор DevSecOps инструментария
Тема 15. Анализ исходного кода на безопасность (SAST/ DAST/IAST)
Тема 16. Применение защиты для REST-API внутри микро-сервисных приложений и на back-end.
Тема 17. Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection.
Тема 18. Современные средства периметральной безопасности сети (NGFW/Sandbox)
Тема 19. Моделирование угроз и тестирование на проникновение
Тема 20. Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR)
Тема 21. План проекта и методика трансформации организации в DevSecOps.
C 27 декабря
Тема 22. Выбор темы
Тема 23. Консультации и обсуждения проектной работы
Тема 24. Защита проектов
Скачать подробную программу

Процесс обучения

Курс длится 4 месяца, или 16 недель. Ориентировочные затраты времени - 6 часов в неделю.

Каждую неделю:
- проводится два 2-х часовых онлайн вебинара - теория / демо (всего 32 вебинара)
- выдается слайд-дек с вебинара и видео-запись вебинара
- выдается одно домашнее задание - изучить технологию, выполнить лабораторную работу

По всем практическим заданиям преподаватели дают развернутый фидбек. Преподаватели постоянно находятся в едином коммуникационном пространстве с группой на протяжении всего курса, т. е. в процессе обучения слушатель может задавать уточняющие вопросы по материалам лекций и домашних заданий, взаимодействовать с преподавателями.
Получить консультацию
Наш специалист свяжется с вами в ближайшее время. Если у вас возникли трудности в выборе курса или проблемы технического плана, то мы с радостью поможем вам.
Спасибо!
Мы получили Вашу заявку, в ближайшее время с Вами свяжется наш менеджер.

После обучения вы


  • заберете с собой материалы по всем занятиям (презентации, записи вебинаров, примеры практических задач);

  • получите сертификат о прохождении курса;

  • научитесь интегрировать в CI/CD и использовать инструменты ИБ

  • приобретете знания, необходимые для успешного использования ИБ инструментария;

Дата выдачи сертификата: 13 сентября 2022 года
Ваш сертификат

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Директор департамента образования
ООО “Отус Онлайн-Образование”
Анна Фирсова

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Директор департамента образования
ООО “Отус Онлайн-Образование”
Анна Фирсова

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.
Прошедшие открытые вебинары
Открытый вебинар — это настоящее занятие в режиме он-лайн с преподавателем курса, которое позволяет посмотреть, как проходит процесс обучения. В ходе занятия слушатели имеют возможность задать вопросы и получить знания по реальным практическим кейсам.
DevSecOps. Почему безопасность должна быть на всех этапах CI/CD
Филипп Игнатенко
День открытых дверей
15 сентября в 20:00
Оставьте заявку, чтобы получить доступ к записям прошедших мероприятий. Записи всех мероприятий появятся в этом блоке

Партнеры ждут выпускников этого курса