Внедрение и работа в DevSecOps
Научитесь обеспечивать безопасность в непрерывном процессе разработки
27 ноября
Professional
5 месяцев
Онлайн
Пн/Ср 20:00 Мск
Для кого этот курс?
Наш курс подходит тем, кто хочет разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак
А именно:
- Разработчикам: освоите навыки безопасной разработки, сможете сделать вашу роль в команде более значимой
- Девопс-инженерам и администраторам: научитесь обеспечивать безопасность инфраструктуры
- Тестировщикам: сможете переквалифицироваться в специалиста по поиску уязвимостей
- Архитекторам: взгляните на безопасность по-новому
- ИБ-специалистам: сможете лучше понимать ландшафт киберугроз
Необходимые знания
- Вы обслуживали приложения в CI и CD, использовали GitLab и Jenkins
- Работали с Git: GitHub, GitLab
- Работали с инструментами автоматизации конфигурации: Ansible, Chef
Что вам даст этот курс?
Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Интегрировать тестирование безопасности во все этапы разработки ПО – первостепенно важно для IT-специалиста
Вы научитесь:
- Переходить от модели «защита периметра» к модели «построение безопасности процесса разработки»
- Выявлять и устранять уязвимости на всех этапах: от проектирования архитектуры до вывода в production
- Интегрировать в CI/CD и использовать следующие ИБ-инструменты:
- анализ возможных атак
- проверку исходного кода на безопасность (SAST)
- защиту для REST API внутри микросервисных приложений и на бэкенде
- фаервол для веб-приложений (WAF)
- межсетевые экраны нового поколения (NGFW)
- ручное и автоматизированное тестирование на проникновение
- мониторинг безопасности и реагирование на события в ИБ (SIEM)
Актуальность DevSecOps
Безопасность данных стала основной метрикой успешных бизнес-приложений и надёжным способом снизить репутационные риски. Те, кто могут обеспечить такую безопасность, – высокооплачиваемые и востребованные специалисты в крупных компаниях: Group IB, МТС, «Тинькофф Банк», «Лаборатория Касперского»
Процесс обучения
У нас нет предзаписанных уроков.
Занятия в OTUS – это вебинары. Преподаватели-практики помогут погрузиться в теорию, обучат на реальных примерах, расскажут о необходимых в работе инструментах. Вы всегда сможете задать вопрос и получить обратную связь.
И самое главное – сможете практиковаться!
Практикуйтесь
Приобретайте знания и навыки, которые пригодятся для обеспечения безопасности в автоматизированном DevSecOps-процессе
Перенимайте опыт профессионалов
Учитесь у ведущих специалистов по информационной безопасности с многолетним стажем
Будьте готовы ко всему
Изучите разнообразные типы атак, методы социальной инженерии и технические каналы утечки информации
Партнеры
Многие студенты еще во время прохождения первой части программы находят или меняют работу, а к концу обучения могут претендовать на повышение в должности.
-
Разместите резюме в базе OTUS: так наши партнёры смогут пригласить вас на интервью
-
Получите помощь с оформлением резюме, портфолио и сопроводительного письма
-
Хорошо проявите себя на занятиях и получите возможность пройти собеседование у партнёров OTUS
Специалист по ИБ
Работодатели курса
Формат обучения
Интерактивные вебинары
Два онлайн-урока по 2 академических часа в неделю, вечный доступ к учебным материалам
Практика
Выпускная работа усилит знания, а её хорошая защита – откроет новые карьерные возможности
Активное комьюнити
Общение на вебинарах и в закрытом телеграм-чате, развёрнутые ответы при проверке домашних заданий
Программа
Базис знаний информационной безопасности
В этом модуле будут рассмотрены основополагающие моменты ИБ. Поговорим о стандартах ИБ и принципах обеспечения ИБ как процесса
Тема 1: Введение в курс. Термины, стандарты и методики ИБ
Тема 2: Рынок ИБ: основные тенденции и инструменты для мониторинга
Тема 3: Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры
Обзор уязвимостей OWASP
Изучим и обсудим классификацию уязвимостей по методологии OWASP
Тема 1: Разбор уязвимостей OWASP Top 10 Web // ДЗ
Тема 2: Разбор уязвимостей OWASP Top 10 - REST API // ДЗ
Особенности разработки безопасного кода и использования фреймворков
Рассмотрим уязвимости в исходном коде. Рассмотрим также, почему важно не полагаться на сторонние средства безопасности. Обсудим влияние кода на конечный продукт
Тема 1: Безопасная разработка в HTML/CSS и PHP // ДЗ
Тема 2: Безопасная разработка в Java/Node.js // ДЗ
Тема 3: Безопасная разработка в .NET
Тема 4: Безопасная разработка в Python // ДЗ
Тема 5: Безопасная разработка и уязвимости программного кода // ДЗ
Тема 6: Безопасная разработка в Ruby // ДЗ
Тема 7: Безопасная разработка Kotlin
Тема 8: Q&A. Сессия вопросов и ответов
Разработка безопасных контейнерных и serverless приложений
Рассмотрим контейнеры - best practices современной разработки. Поговорим о безопасности контейнерных сред.
Тема 1: Обеспечение безопасности в ОС Linux
Тема 2: Введение в Docker
Тема 3: Работа с данными и сетями в Docker
Тема 4: Сборка и оптимизация Docker-образов
Тема 5: Обеспечение безопасности в Docker контейнерах // ДЗ
Тема 6: Основные компоненты Kubernetes // ДЗ
Тема 7: Kubernetes. Практика
Тема 8: Обеспечение безопасности в Kubernetes // ДЗ
Тема 9: Обеспечение безопасности ОС Windows
Интеграция и работа с инструментами ИБ в рамках DevSecOps
Рассмотрим безопасность разработки, ее роль в процессе. Обсудим роль специалиста ИБ в процессе разработки.
Тема 1: Обеспечение безопасности CI/CD тулчейна и DevOps процесса // ДЗ
Тема 2: Обзор DevSecOps инструментария // ДЗ
Тема 3: Анализ исходного кода на безопасность (SAST/ DAST/IAST) // ДЗ
Тема 4: Применение защиты для REST-API внутри микро-сервисных приложений и на back-end // ДЗ
Тема 5: Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection // ДЗ
Тема 6: Q&A. Сессия вопросов и ответов
Тема 7: Современные средства периметральной безопасности сети (NGFW/Sandbox) // ДЗ
Тема 8: Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)
Тема 9: Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR)
Тема 10: Моделирование угроз и тестирование на проникновение // ДЗ
Тема 11: Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
Тема 12: План проекта и методика трансформации организации в DevSecOps
Тема 13: Soft skills
Проектный модуль
Проектный модуль - время для реализации своего проекта. Заключительный этап большого пути перед выходом в мир
Тема 1: Выбор темы и организация проектной работы // Проект
Тема 2: Консультации и обсуждения проектной работы
Тема 3: Защита проектов
Также вы можете получить полную программу, чтобы убедиться, что обучение вам подходит
Проектная работа
Заключительный месяц курса посвящён проектной работе: можете использовать собственный бизнес-кейс или взять учебную задачу. Чтобы получить свидетельство о повышении квалификации, вы защитите проект перед преподавателемПримеры выпускных проектов - читайте в нашем блоге:
Преподаватели
Эксперты-практики делятся опытом, разбирают кейсы студентов и дают развернутый фидбэк на домашние задания
Ближайшие мероприятия
Бесплатный открытый вебинар – онлайн-занятие с преподавателем курса. На открытом вебинаре можно посмотреть, как проходит обучение, а ещё – узнать что-то ценное по интересующей теме. На занятии слушатели могут задавать ведущему вопросы
Программа урока:
- Узнаем о существующих видах анализа в DevSecOps.
Вы познакомитесь с различными методами анализа, которые применяются на этапах разработки для обеспечения безопасности приложений.
- Разберемся, чем отличаются разные виды анализа.
Поймете особенности статического, динамического и интерактивного анализов, а также их применение на практике.
- Подробнее рассмотрим один из самых популярных инструментов статического анализа.
Изучите функционал и возможности инструмента, который широко используется в индустрии для обнаружения уязвимостей в коде.
- Составим этапы внедрения практик DevSecOps в компании.
Получите пошаговый план трансформации процессов разработки с акцентом на безопасность.
Урок будет полезен: DevOps-инженерам, разработчикам и тестировщикам ПО, специалистам по информационной безопасности
В результате урока вы:
- Узнаете о самых популярных видах анализа и наиболее известных инструментах DevSecOps. Это позволит вам выбрать подходящие инструменты для вашей команды.
- Спланируете и наметите основные вехи трансформации деятельности команд в русло безопасной разработки. Сможете начать внедрение DevSecOps-практик в вашей организации с четким пониманием шагов и ожидании
Программа урока:
- Познакомимся с основными векторами атак на Docker-контейнеры.
- Узнаем лучшие практики по улучшению безопасности контейнеров.
Урок будет полезен: специалистам по информационной безопасности, DevOps, DevSecOps.
В результате урока вы:
- Повысьте свою осведомленность об основных уязвимостях Docker-контейнеров.
- Узнаете о рекомендациях и техниках, позволяющих повысить защищенность.
Прошедшие
мероприятия
Возможность пройти вступительное тестирование повторно появится только через 3 дня
Результаты тестирования будут отправлены вам на email, указанный при регистрации.
Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!
Корпоративное обучение для ваших сотрудников
- Курсы OTUS верифицированы крупными игроками ИТ-рынка и предлагают инструменты и практики, актуальные на данный момент
- Студенты работают в группах, могут получить консультации не только преподавателей, но и профессионального сообщества
- OTUS проверяет знания студентов перед стартом обучения и после его завершения
- Простой и удобный личный кабинет компании, в котором можно видеть статистику по обучению сотрудников
- Сертификат нашего выпускника за 5 лет стал гарантом качества знаний в обществе
- OTUS создал в IT более 120 курсов по 7 направлениям, линейка которых расширяется по 40-50 курсов в год
Отзывы
Сертификат о прохождении курса
OTUS занимается лицензированной образовательной деятельностью. В конце обучения вы получите свидетельство о повышении квалификации
После обучения вы:
- получите доступ к обучающим материалам: видеозаписям вебинаров, презентациям к занятиям
- получите свидетельство о повышении квалификации и сертификат OTUS об окончании курса
- повысите собственную конкурентоспособность
Внедрение и работа в DevSecOps
Стоимость в рассрочку
Стоимость указана для оплаты физическими лицами
вычета до 13% стоимости обучения. Пройдите тестирование и менеджер вас проконсультирует
+7 499 938-92-02 бесплатно