DevSecOps: внедрение и работа

Курсы

Программирование
C# Developer. Professional Flutter Mobile Developer C# Developer. Basic C# Developer PHP Developer. Basic
-50%
Специализация PHP Developer Буткемп Java Python Developer. Professional Архитектура и шаблоны проектирования MS SQL Server Developer Highload Architect C++ Developer. Professional Java Developer. Basic JavaScript Developer. Professional JavaScript Developer. Basic HTML/CSS Kotlin Developer. Basic Android Developer. Basic Специализация Android-разработчик Team Lead Web-разработчик на Python Unity Game Developer. Professional PostgreSQL для администраторов баз данных и разработчиков Алгоритмы и структуры данных Разработчик программных роботов (RPA) на базе UiPath и PIX Kotlin Backend Developer React.js Developer Node.js Developer Разработчик IoT Подготовка к сертификации Oracle Java Programmer (OCAJP) Специализация C++ Developer Groovy Developer
Специализации Курсы в разработке Подготовительные курсы Подписка
+7 499 938-92-02

Внедрение и работа в DevSecOps

Научитесь обеспечивать безопасность в непрерывном процессе разработки и продакшена.
Выбирайте и интегрируйте инструменты ИБ под свои процессы.

Длительность обучения:

4 месяца

4 ак. часа в нед.

Формат:

Online

Начало занятий:

31 октября

Дни занятий:

Пн 20:00, Ср 20:00

Что даст вам этот курс

Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.

Для кого этот курс

Разработка инфраструктуры и стека приложений в непрерывном потоке изменений Agile DevOps требует непрерывной работы с инструментами ИБ. Традиционная модель безопасности с фокусом на защиту периметра больше не работает. В DevOps ответственность за обеспечение безопасности ложится на всех участников Dev[Sec]Ops процесса.

Курс предназначен для специалистов следующих профилей:

- Разработчиков
- DevOps инженеров и Администраторов
- Тестировщиков
- Архитекторов
- Специалистов по информационной безопасности
- Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.

Цель Курса

Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.

В рамках курса будут рассмотрены особенности защиты следующих видов приложений:

- Традиционные монолитные 2/3-Tier приложения
- Kubernetes приложения - в собственном ДЦ, Public Cloud (EKS, AKS, GKE)
- Мобильные iOS и Android приложения
- Приложения c REST API back-end

Будут рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ.

В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов.

Знания и навыки которые вы приобретете

- Переход от модели безопасности “защита периметра” к модели “защита всех слоев”
- Словарь, термины и объекты используемые в инструментах ИБ - CWE, CVE, Exploit и др.
- Основные стандарты, методики, источники информации - OWASP, NIST, PCI DSS, CIS и др.

А также научатся интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий:

- Анализ возможных атак (Threat Modelling)
- Статический анализ исходного кода на безопасность (SAST)
- Динамический анализ приложений на безопасность (IAST/DAST)
- Анализ использования стороннего и открытого программного обеспечения (SCA)
- Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, итп)
- Усиление конфигурации и патчинг (Configuration Hardening, Patching)
- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)
- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end
- Применение Web-Application Firewall (WAF)
- Межсетевые экраны нового поколения (NGFW)
- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
- Мониторинг безопасности и реакция на события в ИБ (SIEM)
- Криминалистическая экспертиза (Forensic Analysis)

Кроме того, тим-лидеры получат рекомендации о практике успешного внедрения DevSecOps:

- Как подготовить и успешно провести мини-тендер и PoC по выбору инструментов
- Как изменить роли, структуру и зоны ответственности команд разработки, поддержки, ИБ
- Как адаптировать бизнес-процессы продакт менеджмента, разработки, обслуживания, ИБ

Преподаватели

Сергей Терешин
руководитель проектов облачных и цифровых решений в МТС
Антон Лукашов
Vulnerability Management Analyst в Совкомбанк-Технологии
Даниил Носенко
Андрей Бирюков
Анастасия Порхун
Филипп Игнатенко
Руководитель блока развития российской облачной платформы
Иван Понуровский
Сертифицированный специалист по решениям информационной безопасности от компании Check Point, McAfee, Group -IB, Microsoft.
Опыт в отрасли телеком/ИТ/ИБ более 14 лет.

10 лет проработал в телеком- операторе системы Транснефть в качестве инженера по ИТ, руководителя Регионального Центра Управления.
Спроектировал, внедрил концепцию централизованного управления сетью связи, обеспечил безопасность предложенного решения.

Участвовал в организации и проведении Чемпионата мира по футболу 2018 в Самаре в качестве руководителя группы технической поддержки.
Проектирует и внедряет комплексные архитектурные решения по ИБ для предприятий различных отраслей деятельности.

Закончил Поволжский Государственный Университет Телекоммуникаций и Информатики, 2007, Инженер по сетям связи и системам коммутации.

Опыт в информационной безопасности с 2018 года

Специализация:
- Контроль защищенности инфраструктуры
- Построение процессов управления уязвимостями для различных платформ (микросервисы и DevOps, Хостовые ОС, ОС сетевого оборудования, Mobile, DB, Virtualisation)
- Управление политиками и требованиями ИБ в рамках инфраструктуры и проектов разработки.

Занимается аудитом коммерческих сетей с 2017 года.

Участвовал в разработке модели безопасности для межгосударственного банка Украины "АТ Ощадбанк"
Главная особенность тестирования - пентест методом "черного ящика"
Работа с python и bush с 2016 года

Опыт работы с unix-системами , в частности дистрибутивов на основе Debian.

Работаю в области Информационной Безопасности более 15 лет.

Основные направления деятельности это внедрение комплексных проектов по защите корпоративных и промышленных сетей.
В настоящий момент работаю архитектором комплексных проектов в крупном российском разработчике решений ИБ.

Также являюсь автором четырех книг и более 200 статей по информационной безопасности.

В индустрии с 2012 года.

Имеет опыт работы в телеком- и аутсорс- компаниях, с государственными структурами. Занимается проектированием и разработкой ПО, выстраиванием процессов CI/CD, а также исследованиями в сфере информационной безопасности.

Считаю, что программировать стоит с использованием языка, стек технологий необходимо продумывать под задачу, а безопасность должна обеспечиваться на всех этапах жизненного цикла ПО.

За 12 лет работы в ИТ успел поработать разработчиком, тестировщиком, devops и devsecops инженером в таких компаниях как НСПК (разработчик карты МИР), Лаборатория Касперского, Сибур и Ростелеком.
На данный момент я руководитель блока развития российской облачной платформы в компании Digital Energy (группа компаний Ростелеком).

Мой практический опыт базируется на знании языков C#, F#, dotnet core, python, разработке и интеграции различных инструментов DevOps и DevSecOps практик (SAST/SCA, DAST/IAST, сканирование веб-приложений, инфраструктурный анализ, сканирование мобильных приложений).

Имею обширный опыт разворачивания и поддержки k8s-кластеров, работаю с облачными провайдерами. Провожу аудит безопасности и развертываю сервисные сетки. Являюсь автором собственных курсов по программированию, тестированию, реляционным и нереляционым базам данных, работе с облачными провайдерами и администрированию bare-metal серверов. Спикер международных конференций.

Закончил Пермский государственный национальный исследовательский университет по специальности компьютерная безопасность в 2012 году. Опыт работы в сфере ИТ/ИБ около 10 лет.

Занимаюсь анализом безопасности и реверсингом приложений (в основном под iOS), участвую в разработке приложений для извлечения и расшифровки данных с iOS-устройств.

Также имею опыт в пентесте и разработке на С, C++, Objective-C, Swift.

Опубликовал несколько статьей на русско- и англоязычных ресурсах, посвященных вопросам ИБ.

Сергей
Терешин
Антон
Лукашов
Даниил
Носенко
Андрей
Бирюков
Анастасия
Порхун
Филипп
Игнатенко
Иван
Понуровский

Преподаватели

Сергей Терешин
руководитель проектов облачных и цифровых решений в МТС
Сертифицированный специалист по решениям информационной безопасности от компании Check Point, McAfee, Group -IB, Microsoft.
Опыт в отрасли телеком/ИТ/ИБ более 14 лет.

10 лет проработал в телеком- операторе системы Транснефть в качестве инженера по ИТ, руководителя Регионального Центра Управления.
Спроектировал, внедрил концепцию централизованного управления сетью связи, обеспечил безопасность предложенного решения.

Участвовал в организации и проведении Чемпионата мира по футболу 2018 в Самаре в качестве руководителя группы технической поддержки.
Проектирует и внедряет комплексные архитектурные решения по ИБ для предприятий различных отраслей деятельности.

Закончил Поволжский Государственный Университет Телекоммуникаций и Информатики, 2007, Инженер по сетям связи и системам коммутации.

Антон Лукашов
Vulnerability Management Analyst в Совкомбанк-Технологии
Опыт в информационной безопасности с 2018 года

Специализация:
- Контроль защищенности инфраструктуры
- Построение процессов управления уязвимостями для различных платформ (микросервисы и DevOps, Хостовые ОС, ОС сетевого оборудования, Mobile, DB, Virtualisation)
- Управление политиками и требованиями ИБ в рамках инфраструктуры и проектов разработки.

Даниил Носенко
Занимается аудитом коммерческих сетей с 2017 года.

Участвовал в разработке модели безопасности для межгосударственного банка Украины "АТ Ощадбанк"
Главная особенность тестирования - пентест методом "черного ящика"
Работа с python и bush с 2016 года

Опыт работы с unix-системами , в частности дистрибутивов на основе Debian.

Андрей Бирюков
Работаю в области Информационной Безопасности более 15 лет.

Основные направления деятельности это внедрение комплексных проектов по защите корпоративных и промышленных сетей.
В настоящий момент работаю архитектором комплексных проектов в крупном российском разработчике решений ИБ.

Также являюсь автором четырех книг и более 200 статей по информационной безопасности.

Анастасия Порхун
В индустрии с 2012 года.

Имеет опыт работы в телеком- и аутсорс- компаниях, с государственными структурами. Занимается проектированием и разработкой ПО, выстраиванием процессов CI/CD, а также исследованиями в сфере информационной безопасности.

Считаю, что программировать стоит с использованием языка, стек технологий необходимо продумывать под задачу, а безопасность должна обеспечиваться на всех этапах жизненного цикла ПО.

Филипп Игнатенко
Руководитель блока развития российской облачной платформы
За 12 лет работы в ИТ успел поработать разработчиком, тестировщиком, devops и devsecops инженером в таких компаниях как НСПК (разработчик карты МИР), Лаборатория Касперского, Сибур и Ростелеком.
На данный момент я руководитель блока развития российской облачной платформы в компании Digital Energy (группа компаний Ростелеком).

Мой практический опыт базируется на знании языков C#, F#, dotnet core, python, разработке и интеграции различных инструментов DevOps и DevSecOps практик (SAST/SCA, DAST/IAST, сканирование веб-приложений, инфраструктурный анализ, сканирование мобильных приложений).

Имею обширный опыт разворачивания и поддержки k8s-кластеров, работаю с облачными провайдерами. Провожу аудит безопасности и развертываю сервисные сетки. Являюсь автором собственных курсов по программированию, тестированию, реляционным и нереляционым базам данных, работе с облачными провайдерами и администрированию bare-metal серверов. Спикер международных конференций.

Иван Понуровский
Закончил Пермский государственный национальный исследовательский университет по специальности компьютерная безопасность в 2012 году. Опыт работы в сфере ИТ/ИБ около 10 лет.

Занимаюсь анализом безопасности и реверсингом приложений (в основном под iOS), участвую в разработке приложений для извлечения и расшифровки данных с iOS-устройств.

Также имею опыт в пентесте и разработке на С, C++, Objective-C, Swift.

Опубликовал несколько статьей на русско- и англоязычных ресурсах, посвященных вопросам ИБ.

Отзывы

2
Артем
Выражаю благодарность Сергею за организацию такого курса. Тема не развита в у нас в стране, и он один из первопроходцев в сфере обучения в этой специфики, это огромная работа. Также хочу отметить Филиппа Игнатенко, как профессионала своего дела и компетентного специалиста, который знает о чем говорит. Платил за курс из своего кармана и не жалею. Конечно курс сыроват, но надо понимать, что это первые шаги в истории обучения DevSecOps в РФ. Зачем делать занятие по SQLI и кидать в ДЗ чит лист по инъекциям - типо делай сам, я не понимаю такой подход. Однако я понимаю реалии и не вчера родился. Сам хотел помочь бы Вам в развитие, так как сам с командой веду сайт itsecforu.ru полностью на некоммерческой основе для развития ИБ у нас в стране. Я всегда на связи и могу помочь и посодействовать Вам в чем смогу, друзья! Респект
Читать целиком
Денис
Ивохин
Добрый день уважаемы Otus!
Спасибо большое за курс, за подачу, за очень обширную базу, информацию по курсу, которe. вы предоставили, за профессиональных преподавателей!

Позвольте попросить Вас рассмотреть, подобные курсы, но уже с более глубоким погружением, например в SAST/DAST/IAST; WAF; SIEM; именно инструментов opensource!

Спасибо!
Читать целиком
Артем
Выражаю благодарность Сергею за организацию такого курса. Тема не развита в у нас в стране, и он один из первопроходцев в сфере обучения в этой специфики, это огромная работа. Также хочу отметить Филиппа Игнатенко, как профессионала своего дела и компетентного специалиста, который знает о чем говорит. Платил за курс из своего кармана и не жалею. Конечно курс сыроват, но надо понимать, что это первые шаги в истории обучения DevSecOps в РФ. Зачем делать занятие по SQLI и кидать в ДЗ чит лист по инъекциям - типо делай сам, я не понимаю такой подход. Однако я понимаю реалии и не вчера родился. Сам хотел помочь бы Вам в развитие, так как сам с командой веду сайт itsecforu.ru полностью на некоммерческой основе для развития ИБ у нас в стране. Я всегда на связи и могу помочь и посодействовать Вам в чем смогу, друзья! Респект
Читать целиком
Денис
Ивохин
Добрый день уважаемы Otus!
Спасибо большое за курс, за подачу, за очень обширную базу, информацию по курсу, которe. вы предоставили, за профессиональных преподавателей!

Позвольте попросить Вас рассмотреть, подобные курсы, но уже с более глубоким погружением, например в SAST/DAST/IAST; WAF; SIEM; именно инструментов opensource!

Спасибо!
Читать целиком

Необходимые знания

Опыт работы с Git (GitHub, GitLab, и т.п.), обслуживания приложений в CI/CD (GitLab, Jenkins, и т.п.), работы с инструментами автоматизации конфигурации (Ansible, Chef, и т.п.).
Корпоративное обучение для ваших сотрудников
>
Программа обучения
В процессе обучения вы получите комплексные знания и навыки.
C 31 октября
Тема 1. Словарь, термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности
Тема 2. Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры
C 9 ноября
Тема 3. Разбор уязвимостей OWASP Top 10 Web // ДЗ
Тема 4. Разбор уязвимостей OWASP Top 10 - REST API // ДЗ
C 16 ноября
Тема 5. Безопасная разработка в HTML/CSS и PHP // ДЗ
Тема 6. Безопасная разработка в Java/Node.js // ДЗ
Тема 7. Безопасная разработка в .NET
Тема 8. Безопасная разработка в Python // ДЗ
Тема 9. Безопасная разработка и уязвимости программного кода // ДЗ
C 5 декабря
Тема 10. Обеспечение безопасности в Docker контейнерах // ДЗ
Тема 11. Обеспечение безопасности в Kubernetes // ДЗ
Тема 12. QA-лекция
Тема 13. Обеспечение безопасности в ОС Linux
C 19 декабря
Тема 14. Обеспечение безопасности CI/CD тулчейна и DevOps процесса // ДЗ
Тема 15. Обзор DevSecOps инструментария // ДЗ
Тема 16. Анализ исходного кода на безопасность (SAST/ DAST/IAST) // ДЗ
Тема 17. Применение защиты для REST-API внутри микро-сервисных приложений и на back-end // ДЗ
Тема 18. Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection // ДЗ
Тема 19. Современные средства периметральной безопасности сети (NGFW/Sandbox) // ДЗ
Тема 20. Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR) // ДЗ
Тема 21. Моделирование угроз и тестирование на проникновение // ДЗ
Тема 22. План проекта и методика трансформации организации в DevSecOps
C 25 января
Тема 23. Выбор темы
Тема 24. Консультации и обсуждения проектной работы
Тема 25. Защита проектов
Скачать подробную программу

Процесс обучения

Курс длится 4 месяца, или 16 недель. Ориентировочные затраты времени - 6 часов в неделю.

Каждую неделю:
- проводится два 2-х часовых онлайн вебинара - теория / демо (всего 32 вебинара)
- выдается слайд-дек с вебинара и видео-запись вебинара
- выдается одно домашнее задание - изучить технологию, выполнить лабораторную работу

По всем практическим заданиям преподаватели дают развернутый фидбек. Преподаватели постоянно находятся в едином коммуникационном пространстве с группой на протяжении всего курса, т. е. в процессе обучения слушатель может задавать уточняющие вопросы по материалам лекций и домашних заданий, взаимодействовать с преподавателями.
Получить консультацию
Наш специалист свяжется с вами в ближайшее время. Если у вас возникли трудности в выборе курса или проблемы технического плана, то мы с радостью поможем вам.
Спасибо!
Мы получили Вашу заявку, в ближайшее время с Вами свяжется наш менеджер.

После обучения вы


  • заберете с собой материалы по всем занятиям (презентации, записи вебинаров, примеры практических задач);

  • получите сертификат о прохождении курса;

  • научитесь интегрировать в CI/CD и использовать инструменты ИБ

  • приобретете знания, необходимые для успешного использования ИБ инструментария;

Дата выдачи сертификата: 28 марта 2023 года
Ваш сертификат

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Директор департамента образования
ООО “Отус Онлайн-Образование”
Анна Фирсова

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Город:
Москва

Директор департамента образования
ООО “Отус Онлайн-Образование”
Анна Фирсова

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.
Прошедшие открытые вебинары
Открытый вебинар — это настоящее занятие в режиме он-лайн с преподавателем курса, которое позволяет посмотреть, как проходит процесс обучения. В ходе занятия слушатели имеют возможность задать вопросы и получить знания по реальным практическим кейсам.
Почему безопасность должна быть на всех этапах CI/CD
Филипп Игнатенко
День открытых дверей
15 сентября 2021 года в 20:00
Для доступа к прошедшим мероприятиям необходимо пройти входное тестирование
Возможность пройти вступительное тестирование повторно появится только через 2 недели
Результаты тестирования будут отправлены вам на e-mail, указанный при регистрации.
Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!

Партнеры ждут выпускников этого курса

Стоимость обучения
Cтоимость указана для оплаты физическими лицами
57 000 ₽
Продолжительность
4 месяца
Начало занятий
31 октября