DevSecOps: внедрение и работа

Курсы

Программирование
PHP Developer. Basic
-20%
Специализация PHP Developer
-25%
C# Developer. Professional
-20%
Team Lead
-20%
Symfony Framework
-20%
C# Developer. Basic
-20%
iOS Developer. Basic
-20%
C# ASP.NET Core разработчик
-20%
Специализация Python Developer
-25%
Разработчик на Spring Framework
-20%
Kotlin Backend Developer
-20%
Архитектура и шаблоны проектирования
-20%
Highload Architect Java Developer. Professional Android Developer. Basic Специализация Android-разработчик Unity Game Developer. Professional Специализация C++ Developer Cloud Solution Architecture Java Developer. Basic Android Developer. Professional Подготовка к сертификации Oracle Java Programmer (OCAJP) JavaScript Developer. Professional Framework Laravel Unity Game Developer. Basic Node.js Developer JavaScript Developer. Basic HTML/CSS Unreal Engine Technical Game Design Kotlin Developer. Basic
Специализации Курсы в разработке Подготовительные курсы Подписка
+7 499 938-92-02

Внедрение и работа в DevSecOps

Научитесь обеспечивать безопасность в непрерывном процессе разработки и продакшена.
Выбирайте и интегрируйте инструменты ИБ под свои процессы.

Длительность обучения:

4 месяца

4 ак. часа в нед.

Формат:

Online

Начало занятий:

27 апреля

Что даст вам этот курс

Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.

Для кого этот курс

Разработка инфраструктуры и стека приложений в непрерывном потоке изменений Agile DevOps требует непрерывной работы с инструментами ИБ. Традиционная модель безопасности с фокусом на защиту периметра больше не работает. В DevOps ответственность за обеспечение безопасности ложится на всех участников Dev[Sec]Ops процесса.

Курс предназначен для специалистов следующих профилей:

- Разработчиков
- DevOps инженеров и Администраторов
- Тестировщиков
- Архитекторов
- Специалистов по информационной безопасности
- Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.

Цель Курса

Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.

В рамках курса будут рассмотрены особенности защиты следующих видов приложений:

- Традиционные монолитные 2/3-Tier приложения
- Kubernetes приложения - в собственном ДЦ, Public Cloud (EKS, AKS, GKE)
- Мобильные iOS и Android приложения
- Приложения c REST API back-end

Будут рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ.

В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов.

Знания и навыки которые вы приобретете

- Переход от модели безопасности “защита периметра” к модели “защита всех слоев”
- Словарь, термины и объекты используемые в инструментах ИБ - CWE, CVE, Exploit и др.
- Основные стандарты, методики, источники информации - OWASP, NIST, PCI DSS, CIS и др.

А также научатся интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий:

- Анализ возможных атак (Threat Modelling)
- Статический анализ исходного кода на безопасность (SAST)
- Динамический анализ приложений на безопасность (IAST/DAST)
- Анализ использования стороннего и открытого программного обеспечения (SCA)
- Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, итп)
- Усиление конфигурации и патчинг (Configuration Hardening, Patching)
- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)
- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end
- Применение Web-Application Firewall (WAF)
- Межсетевые экраны нового поколения (NGFW)
- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
- Мониторинг безопасности и реакция на события в ИБ (SIEM)
- Криминалистическая экспертиза (Forensic Analysis)

Кроме того, тим-лидеры получат рекомендации о практике успешного внедрения DevSecOps:

- Как подготовить и успешно провести мини-тендер и PoC по выбору инструментов
- Как изменить роли, структуру и зоны ответственности команд разработки, поддержки, ИБ
- Как адаптировать бизнес-процессы продакт менеджмента, разработки, обслуживания, ИБ

Преподаватели

Сергей Терешин
Технический pre-sale специалист по Информационной безопасности, ООО "Монт"
Антон Лукашов
Vulnerability Management Analyst в Совкомбанк-Технологии
Владимир Камышанов
Руководитель отдела Систем управления событиями информационной безопасности, CISSP
Егор Литвинов
Анастасия Порхун
Филипп Игнатенко
руководитель направления безопасной разработки в компании Digital Energy
Дмитрий Миндов
Сертифицированный специалист по решениям информационной безопасности от компании Check Point, McAfee, Group -IB, Microsoft.
Опыт в отрасли телеком/ИТ/ИБ более 14 лет.

10 лет проработал в телеком- операторе системы Транснефть в качестве инженера по ИТ, руководителя Регионального Центра Управления.
Спроектировал, внедрил концепцию централизованного управления сетью связи, обеспечил безопасность предложенного решения.

Участвовал в организации и проведении Чемпионата мира по футболу 2018 в Самаре в качестве руководителя группы технической поддержки.
Проектирует и внедряет комплексные архитектурные решения по ИБ для предприятий различных отраслей деятельности.

Закончил Поволжский Государственный Университет Телекоммуникаций и Информатики, 2007, Инженер по сетям связи и системам коммутации.

Опыт в информационной безопасности с 2018 года

Специализация:
- Контроль защищенности инфраструктуры
- Построение процессов управления уязвимостями для различных платформ (микросервисы и DevOps, Хостовые ОС, ОС сетевого оборудования, Mobile, DB, Virtualisation)
- Управление политиками и требованиями ИБ в рамках инфраструктуры и проектов разработки.

Занимаюсь безопасностью ИТ-инфраструктуры, 8 лет практического опыта, в т.ч. в телекоме и продуктовых компаниях.
Закончил Московский Институт Электронной Техники, 2013г, инженер, Защищенные Системы Связи.

С 2015 года работаю в области информационной безопасности. Основной фокус в области IoT/M2M/embedded устройств.
До этого более 7 лет занимался программирование микроконтроллеров, ПЛК; учавствовал в пуско-наладочных работах.
Знания в областях АСУ ТП, BMS (Building Management System), системы "Умный дом"

В индустрии с 2012 года.

Имеет опыт работы в телеком- и аутсорс- компаниях, с государственными структурами. Занимается проектированием и разработкой ПО, выстраиванием процессов CI/CD, а также исследованиями в сфере информационной безопасности.

Считаю, что программировать стоит с использованием языка, стек технологий необходимо продумывать под задачу, а безопасность должна обеспечиваться на всех этапах жизненного цикла ПО.

За 12 лет работы в ИТ успел поработать разработчиком, тестировщиком, devops и devsecops инженером в таких компаниях как НСПК (разработчик карты МИР), Лаборатория Касперского, Сибур и Ростелеком.
На данный момент я руководитель направления безопасной разработки в компании Digital Energy (группа компаний Ростелеком).

Мой практический опыт базируется на знании языков C#, F#, dotnet core, python, разработке и интеграции различных инструментов DevOps и DevSecOps практик (SAST/SCA, DAST/IAST, сканирование веб-приложений, инфраструктурный анализ, сканирование мобильных приложений).

Имею обширный опыт разворачивания и поддержки k8s-кластеров, работаю с облачными провайдерами. Провожу аудит безопасности и развертываю сервисные сетки. Являюсь автором собственных курсов по программированию, тестированию, реляционным и нереляционым базам данных, работе с облачными провайдерами и администрированию bare-metal серверов. Спикер международных конференций.

Специалист по информационной безопасности, более 6 лет опыта. Работал в крупных интеграторах, руководил отделом по информационной безопасности в одной из крупнейших нефтяных компании в мире. В данный момент занимаюсь исследованиями по безопасности в мировой компании, производителя телеком оборудования.

Сергей
Терешин
Антон
Лукашов
Владимир
Камышанов
Егор
Литвинов
Анастасия
Порхун
Филипп
Игнатенко
Дмитрий
Миндов

Преподаватели

Сергей Терешин
Технический pre-sale специалист по Информационной безопасности, ООО "Монт"
Сертифицированный специалист по решениям информационной безопасности от компании Check Point, McAfee, Group -IB, Microsoft.
Опыт в отрасли телеком/ИТ/ИБ более 14 лет.

10 лет проработал в телеком- операторе системы Транснефть в качестве инженера по ИТ, руководителя Регионального Центра Управления.
Спроектировал, внедрил концепцию централизованного управления сетью связи, обеспечил безопасность предложенного решения.

Участвовал в организации и проведении Чемпионата мира по футболу 2018 в Самаре в качестве руководителя группы технической поддержки.
Проектирует и внедряет комплексные архитектурные решения по ИБ для предприятий различных отраслей деятельности.

Закончил Поволжский Государственный Университет Телекоммуникаций и Информатики, 2007, Инженер по сетям связи и системам коммутации.

Антон Лукашов
Vulnerability Management Analyst в Совкомбанк-Технологии
Опыт в информационной безопасности с 2018 года

Специализация:
- Контроль защищенности инфраструктуры
- Построение процессов управления уязвимостями для различных платформ (микросервисы и DevOps, Хостовые ОС, ОС сетевого оборудования, Mobile, DB, Virtualisation)
- Управление политиками и требованиями ИБ в рамках инфраструктуры и проектов разработки.

Владимир Камышанов
Руководитель отдела Систем управления событиями информационной безопасности, CISSP
Занимаюсь безопасностью ИТ-инфраструктуры, 8 лет практического опыта, в т.ч. в телекоме и продуктовых компаниях.
Закончил Московский Институт Электронной Техники, 2013г, инженер, Защищенные Системы Связи.

Егор Литвинов
С 2015 года работаю в области информационной безопасности. Основной фокус в области IoT/M2M/embedded устройств.
До этого более 7 лет занимался программирование микроконтроллеров, ПЛК; учавствовал в пуско-наладочных работах.
Знания в областях АСУ ТП, BMS (Building Management System), системы "Умный дом"

Анастасия Порхун
В индустрии с 2012 года.

Имеет опыт работы в телеком- и аутсорс- компаниях, с государственными структурами. Занимается проектированием и разработкой ПО, выстраиванием процессов CI/CD, а также исследованиями в сфере информационной безопасности.

Считаю, что программировать стоит с использованием языка, стек технологий необходимо продумывать под задачу, а безопасность должна обеспечиваться на всех этапах жизненного цикла ПО.

Филипп Игнатенко
руководитель направления безопасной разработки в компании Digital Energy
За 12 лет работы в ИТ успел поработать разработчиком, тестировщиком, devops и devsecops инженером в таких компаниях как НСПК (разработчик карты МИР), Лаборатория Касперского, Сибур и Ростелеком.
На данный момент я руководитель направления безопасной разработки в компании Digital Energy (группа компаний Ростелеком).

Мой практический опыт базируется на знании языков C#, F#, dotnet core, python, разработке и интеграции различных инструментов DevOps и DevSecOps практик (SAST/SCA, DAST/IAST, сканирование веб-приложений, инфраструктурный анализ, сканирование мобильных приложений).

Имею обширный опыт разворачивания и поддержки k8s-кластеров, работаю с облачными провайдерами. Провожу аудит безопасности и развертываю сервисные сетки. Являюсь автором собственных курсов по программированию, тестированию, реляционным и нереляционым базам данных, работе с облачными провайдерами и администрированию bare-metal серверов. Спикер международных конференций.

Дмитрий Миндов
Специалист по информационной безопасности, более 6 лет опыта. Работал в крупных интеграторах, руководил отделом по информационной безопасности в одной из крупнейших нефтяных компании в мире. В данный момент занимаюсь исследованиями по безопасности в мировой компании, производителя телеком оборудования.

Необходимые знания

Опыт работы с Git (GitHub, GitLab, и т.п.), обслуживания приложений в CI/CD (GitLab, Jenkins, и т.п.), работы с инструментами автоматизации конфигурации (Ansible, Chef, и т.п.).
Корпоративное обучение для ваших сотрудников
>
Программа обучения
В процессе обучения вы получите комплексные знания и навыки.
Тема 1. Словарь, термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности
Тема 2. Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры
Тема 3. Разбор уязвимостей OWASP Top 10 Web
Тема 4. Разбор уязвимостей OWASP Top 10 - REST API
Тема 5. Безопасная разработка в HTML/CSS и PHP
Тема 6. Безопасная разработка в Java/Node.js
Тема 7. Безопасная разработка в .NET
Тема 8. Безопасная разработка в Python
Тема 9. Безопасная разработка и уязвимости программного кода
Тема 10. Обеспечение безопасности в Docker контейнерах
Тема 11. Обеспечение безопасности в Kubernetes
Тема 12. Обеспечение безопасности CI/CD тулчейна и DevOps процесса
Тема 13. Обзор DevSecOps инструментария
Тема 14. Анализ исходного кода на безопасность (SAST/ DAST/IAST)
Тема 15. Применение защиты для REST-API внутри микро-сервисных приложений и на back-end.
Тема 16. Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection.
Тема 17. Обеспечение безопасности в ОС Linux
Тема 18. Моделирование угроз и тестирование на проникновение
Тема 19. План проекта и методика трансформации организации в DevSecOps.
Тема 20. Современные средства периметральной безопасности сети (NGFW/Sandbox)
Тема 21. Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR)
Тема 22. Выбор темы
Тема 23. Консультации и обсуждения проектной работы
Тема 24. Защита проектов
Скачать подробную программу

Процесс обучения

Курс длится 4 месяца, или 16 недель. Ориентировочные затраты времени - 6 часов в неделю.

Каждую неделю:
- проводится два 2-х часовых онлайн вебинара - теория / демо (всего 32 вебинара)
- выдается слайд-дек с вебинара и видео-запись вебинара
- выдается одно домашнее задание - изучить технологию, выполнить лабораторную работу

По всем практическим заданиям преподаватели дают развернутый фидбек. Преподаватели постоянно находятся в едином коммуникационном пространстве с группой на протяжении всего курса, т. е. в процессе обучения слушатель может задавать уточняющие вопросы по материалам лекций и домашних заданий, взаимодействовать с преподавателями.
Получить консультацию
Наш специалист свяжется с вами в ближайшее время. Если у вас возникли трудности в выборе курса или проблемы технического плана, то мы с радостью поможем вам.
Спасибо!
Мы получили Вашу заявку, в ближайшее время с Вами свяжется наш менеджер.

После обучения вы


  • заберете с собой материалы по всем занятиям (презентации, записи вебинаров, примеры практических задач);

  • получите сертификат о прохождении курса;

  • научитесь интегрировать в CI/CD и использовать инструменты ИБ

  • приобретете знания, необходимые для успешного использования ИБ инструментария;

Дата выдачи сертификата: 24 сентября 2022 года
Ваш сертификат

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Директор департамента образования
ООО “Отус Онлайн-Образование”
Анна Фирсова

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Директор департамента образования
ООО “Отус Онлайн-Образование”
Анна Фирсова

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.
Прошедшие открытые вебинары
Открытый вебинар — это настоящее занятие в режиме он-лайн с преподавателем курса, которое позволяет посмотреть, как проходит процесс обучения. В ходе занятия слушатели имеют возможность задать вопросы и получить знания по реальным практическим кейсам.
DevSecOps. Почему безопасность должна быть на всех этапах CI/CD
Филипп Игнатенко
День открытых дверей
15 сентября 2021 года в 20:00
Для доступа к прошедшим мероприятиям необходимо пройти входное тестирование
Возможность пройти вступительное тестирование повторно появится только через 2 недели
Результаты тестирования будут отправлены вам на e-mail, указанный при регистрации.
Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!

Партнеры ждут выпускников этого курса

Стоимость обучения
50 000 ₽
Продолжительность
4 месяца
Начало занятий
27 апреля