Рассрочка

Внедрение и работа в DevSecOps

Научитесь обеспечивать безопасность в непрерывном процессе разработки

29 мая

Professional

5 месяцев

Онлайн

Пн/Ср 20:00 Мск

Для кого этот курс?

Наш курс подходит тем, кто хочет разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак

А именно:

Разработчикам: освоите навыки безопасной разработки, сможете сделать вашу роль в команде более значимой
Девопс-инженерам и администраторам: научитесь обеспечивать безопасность инфраструктуры
Тестировщикам: сможете переквалифицироваться в специалиста по поиску уязвимостей
Архитекторам: взгляните на безопасность по-новому
ИБ-специалистам: сможете лучше понимать ландшафт киберугроз

Необходимые знания

Вы обслуживали приложения в CI и CD, использовали GitLab и Jenkins
Работали с Git: GitHub, GitLab
Работали с инструментами автоматизации конфигурации: Ansible, Chef

Пройди вступительный тест и оцени свои знания

Что вам даст этот курс?

Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Интегрировать тестирование безопасности во все этапы разработки ПО – первостепенно важно для IT-специалиста

Вы научитесь:

Переходить от модели «защита периметра» к модели «построение безопасности процесса разработки»
Выявлять и устранять уязвимости на всех этапах: от проектирования архитектуры до вывода в production
Интегрировать в CI/CD и использовать следующие ИБ-инструменты:
- анализ возможных атак
- проверку исходного кода на безопасность (SAST)
- защиту для REST API внутри микросервисных приложений и на бэкенде
- фаервол для веб-приложений (WAF)
- межсетевые экраны нового поколения (NGFW)
- ручное и автоматизированное тестирование на проникновение
- мониторинг безопасности и реагирование на события в ИБ (SIEM)

Актуальность DevSecOps

Безопасность данных стала основной метрикой успешных бизнес-приложений и надёжным способом снизить репутационные риски. Те, кто могут обеспечить такую безопасность, – высокооплачиваемые и востребованные специалисты в крупных компаниях: Group IB, МТС, «Тинькофф Банк», «Лаборатория Касперского»

Процесс обучения

У нас нет предзаписанных уроков.

Занятия в OTUS – это вебинары. Преподаватели-практики помогут погрузиться в теорию, обучат на реальных примерах, расскажут о необходимых в работе инструментах. Вы всегда сможете задать вопрос и получить обратную связь.

И самое главное – сможете практиковаться!

Практикуйтесь

Приобретайте знания и навыки, которые пригодятся для обеспечения безопасности в автоматизированном DevSecOps-процессе

Перенимайте опыт профессионалов

Учитесь у ведущих специалистов по информационной безопасности с многолетним стажем

Будьте готовы ко всему

Изучите разнообразные типы атак, методы социальной инженерии и технические каналы утечки информации

Трудоустройство

Многие студенты еще во время прохождения первой части программы находят или меняют работу, а к концу обучения могут претендовать на повышение в должности.

Разместите резюме в базе OTUS: так наши партнёры смогут пригласить вас на интервью
Получите помощь с оформлением резюме, портфолио и сопроводительного письма
Хорошо проявите себя на занятиях и получите возможность пройти собеседование у партнёров OTUS

Специалист по ИБ

Перспективы направления

Средний уровень зарплат в Москве:

90 000 ₽Junior+ специалист

170 000 ₽Middle+ специалист

260 000 ₽Senior специалист

1084

актуальные вакансии

Работодатель курса

Формат обучения

Интерактивные вебинары

Два онлайн-урока по 2 академических часа в неделю, вечный доступ к учебным материалам

Практика

Выпускная работа усилит знания, а её хорошая защита – откроет новые карьерные возможности

Активное комьюнити

Общение на вебинарах и в закрытом телеграм-чате, развёрнутые ответы при проверке домашних заданий

Программа

Базис знаний информационной безопасности

В этом модуле будут рассмотрены основополагающие моменты ИБ. Поговорим о стандартах ИБ и принципах обеспечения ИБ как процесса

Тема 1: Введение в курс. Термины, стандарты и методики ИБ

Тема 2: Рынок ИБ: основные тенденции и инструменты для мониторинга

Тема 3: Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры

Обзор уязвимостей OWASP

Изучим и обсудим классификацию уязвимостей по методологии OWASP

Тема 1: Разбор уязвимостей OWASP Top 10 Web // ДЗ

Тема 2: Разбор уязвимостей OWASP Top 10 - REST API // ДЗ

Особенности разработки безопасного кода и использования фреймворков

Рассмотрим уязвимости в исходном коде. Рассмотрим также, почему важно не полагаться на сторонние средства безопасности. Обсудим влияние кода на конечный продукт

Тема 1: Безопасная разработка в HTML/CSS и PHP // ДЗ

Тема 2: Безопасная разработка в Java/Node.js // ДЗ

Тема 3: Безопасная разработка в .NET

Тема 4: Безопасная разработка в Python // ДЗ

Тема 5: Безопасная разработка и уязвимости программного кода // ДЗ

Тема 6: Безопасная разработка в Ruby // ДЗ

Тема 7: Безопасная разработка Kotlin

Тема 8: Q&A. Сессия вопросов и ответов

Разработка безопасных контейнерных и serverless приложений

Рассмотрим контейнеры - best practices современной разработки. Поговорим о безопасности контейнерных сред.

Тема 1: Обеспечение безопасности в ОС Linux

Тема 2: Введение в Docker

Тема 3: Работа с данными и сетями в Docker

Тема 4: Сборка и оптимизация Docker-образов

Тема 5: Обеспечение безопасности в Docker контейнерах // ДЗ

Тема 6: Основные компоненты Kubernetes // ДЗ

Тема 7: Kubernetes. Практика

Тема 8: Обеспечение безопасности в Kubernetes // ДЗ

Тема 9: Обеспечение безопасности ОС Windows

Интеграция и работа с инструментами ИБ в рамках DevSecOps

Рассмотрим безопасность разработки, ее роль в процессе. Обсудим роль специалиста ИБ в процессе разработки.

Тема 1: Обеспечение безопасности CI/CD тулчейна и DevOps процесса // ДЗ

Тема 2: Обзор DevSecOps инструментария // ДЗ

Тема 3: Анализ исходного кода на безопасность (SAST/ DAST/IAST) // ДЗ

Тема 4: Применение защиты для REST-API внутри микро-сервисных приложений и на back-end // ДЗ

Тема 5: Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection // ДЗ

Тема 6: Q&A. Сессия вопросов и ответов

Тема 7: Современные средства периметральной безопасности сети (NGFW/Sandbox) // ДЗ

Тема 8: Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)

Тема 9: Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR)

Тема 10: Моделирование угроз и тестирование на проникновение // ДЗ

Тема 11: Ручное и автоматизированное тестирование на проникновение (Penetration Testing)

Тема 12: План проекта и методика трансформации организации в DevSecOps

Тема 13: Soft skills

Проектный модуль

Проектный модуль - время для реализации своего проекта. Заключительный этап большого пути перед выходом в мир

Тема 1: Выбор темы и организация проектной работы // Проект

Тема 2: Консультации и обсуждения проектной работы

Тема 3: Защита проектов

Также вы можете получить полную программу, чтобы убедиться, что обучение вам подходит

Проектная работа

Заключительный месяц курса посвящён проектной работе: можете использовать собственный бизнес-кейс или взять учебную задачу. Чтобы получить свидетельство о повышении квалификации, вы защитите проект перед преподавателем

Примеры выпускных проектов - читайте в нашем блоге:

Преподаватели

Сергей Терешин

Специалист по решениям информационной безопасности

Даниил Носенко

Директор

Аутсорсинговая компания

Анастасия Порхун

Специалист по информационной безопасности

Отдел безопасности сетевых приложений

Антон Лукашов

Vulnerability Management Analyst

Совкомбанк-Технологии

Андрей Бирюков

Независимый эксперт по информационной безопасности, CISSP

Иван Понуровский

Специалист по информационной безопасности

ООО "Элкомсофт"

Станислав Шиков

Начальник отдела автоматизации, DevOps Engineer

ООО "Кодер"

Руслан Сафин

Senior DevOps Engineer

Алексей Федулаев

Руководитель направления автоматизации безопасной разработки

Wildberries

Александр Горячев

Инженер по информационной безопасности инфраструктуры

BHFT

Эксперты-практики делятся опытом, разбирают кейсы студентов и дают развернутый фидбэк на домашние задания

Ближайшие мероприятия

Бесплатный открытый вебинар – онлайн-занятие с преподавателем курса. На открытом вебинаре можно посмотреть, как проходит обучение, а ещё – узнать что-то ценное по интересующей теме. На занятии слушатели могут задавать ведущему вопросы

Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры

Александр Горячев

Рассматриваемые в этом данном открытом уроке темы являются одними из наиболее актуальных стеков в ИБ. Растущая "клаудализация" требует новых подходов к защите инфраструктуры. некоторые из которых мы рассмотрим на этом занятии.

Во время урока мы разберем, что такое ZTNA и почему сейчас важно рассмотреть эту тему, ознакомимся с концепцией SASE, а также вспомним об концепциях безопасности SoD.
Данное занятие будет особенно интересно системным администраторам, администраторам ИБ, а также руководителям....

26 апреля в 17:00

Открытый вебинар

Soft Skills в DevSecOps

Сергей Терешин

Какой бы технической ни была работа инженера DevSecOps, она также включает большой объем коммуникации. Чтобы добиться успеха, специалисты должны иметь возможность доносить сложные, а иногда и чуждые концепции заинтересованным сторонам организации ясным, кратким и точным языком.

На данном открытом уроке, мы обсудим какими софт скиллами должен обладать специалист и как их прокачать.

Данный открытый урок будет интересен специалистам по информационной безопасности, DevOps инженерам и администраторам, а так же специалистам, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе....

8 мая в 17:00

Открытый вебинар

Разбор уязвимостей OWASP Top 10 Web

Иван Понуровский

Тема, которая затрагивается на данном вебинаре особенно актуальна, так как помогает организациям и специалистам выстроить приоритеты в защите от актуальных киберугроз.
На данном занятии мы рассмотрим:

• Обзор самых распространенных уязвимостей веб-приложений
• Терминологию OWASP и классификацию уязвимостей по категориям
• Примеры реальных атак по каждой из категорий уязвимостей
• Лучшие практики и советы по предотвращению и защите от этих уязвимостей
• Понимание важности систематического разбора и анализа уязвимостей веб-приложений
• Роль DevSecOps и интеграция безопасности в жизненный цикл разработки...

23 мая в 17:00

Открытый вебинар

Прошедшие
мероприятия

Руслан Сафин

Открытый вебинар

Обеспечение безопасности в Docker контейнерах

Александр Горячев

Открытый вебинар

Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)

Для доступа ко всем прошедшим мероприятиям необходимо пройти входное тестирование
Возможность пройти вступительное тестирование повторно появится только через 3 дня
Результаты тестирования будут отправлены вам на email, указанный при регистрации.
Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!

Корпоративное обучение для ваших сотрудников

Отус помогает развивать высокотехнологичные Команды. Почему нам удаётся это делать успешно:

Курсы OTUS верифицированы крупными игроками ИТ-рынка и предлагают инструменты и практики, актуальные на данный момент
Студенты работают в группах, могут получить консультации не только преподавателей, но и профессионального сообщества
OTUS проверяет знания студентов перед стартом обучения и после его завершения
Простой и удобный личный кабинет компании, в котором можно видеть статистику по обучению сотрудников
Сертификат нашего выпускника за 5 лет стал гарантом качества знаний в обществе
OTUS создал в IT более 120 курсов по 7 направлениям, линейка которых расширяется по 40-50 курсов в год

Отзывы

Ильдар Каримов

25.06.2023

Отус, лично у меня, стал неким пропуском в DevSecOps. В далеком 2013 году я устроился в компанию, создал отдел ИБ и проработал администратором ИБ 3 года, дослужился до зама руководителя ИБ, не принял должность и ушел в медицинский стартап. Работая в стартапе потерял квалификацию на 80% и был вынужден искать новую работу. В это время строил VPN в иранской организации. Именно там сильно прокачал свои навыки в linux и сетях, подтянул чуть ИБ, а в октябре 2020 опять вернулся в свою компанию, но уже методологом ИБ, а затем и руководителем ИБ. Как руководитель, я понимал, что мне важно понимать DevSecOps направление и бывшие коллеги как раз порекомендовали курс в Отус. В своей день рождения объявил директору, что подумал и все-таки хочу быть devsecops-инженером. Когда мою кандидатуру согласовали, я начал лабораторные задания курса реализовывать у себя на работе, в результате развернул sonarqub, trivy, owasp zap (локально), defectdojo, локальный jekins, локальный gitlab. К сожалению, на данный момент далеко не все идеально и не в автоматическом режиме, работы много (как и писал в своем дипломном проекте) и это я все делаю в одиночку. Но именно наличие обучения сыграло дополнительным весом в сторону утверждения моей кандидатуры. У меня есть огромное желание развиваться в этом направлении, это прибыльная и интересная сфера. Сейчас я анализирую средства RASP, Lint, много непонятного как, куда, в какой момент, но именно это и движет мной. На курсе у меня была боевая практика, которая расставила все на свои места. Отусу могу сказать только спасибо за курс, который я прошел. Зона роста у курса devsecops - это больше практики, именно лабораторки, как в университете. Я думаю можно прям онлайн, когда преподаватель сидит и смотрит все мониторы учащихся, а затем прорабатывает проблемные моменты.

Алексей Добшиков

24.10.2022

На курсе "Внедрение и работа в DevSecOps" меня заинтересовала программа обучения. Ранее мне не приходилось работать с инструментами и процессами ИБ для проверки приложений. Поэтому уже с первых дней занятий стало понятно, что есть что изучать. Создатель курса и весь преподавательский состав помогли разобраться с программой и выполнить итоговый проект. В итоге я научился работать с новыми инструментами для анализа уязвимостей web-приложений, тестированием образов, открыл для себя новую терминологию Курс был мне полезен. Сейчас я применяю практики DevSecOps в компании улучшая уже существующие процессы CI/CD.

Дмитрий Харламов

25.09.2022

Я работаю Release Engineer в компании Exness и в моем багаже 16 лет стажа в ИТ от сисадмина до Team Leader DevOps team Всегда так или иначе сталкивался с безопасностью (статик анализаторы, защита периметра, PSI DSS и HIPA compliance). Хотел упорядочить знания и исследовать темную сторону. В компании Exness всех массово отправляли учится и дали на выбор список курсов. Я сомневался между devsecops, python разработчик и что-то про эффективных менеджеров. Выбрал то, с чем чаще сталкивался. Курс очень специфический и требует не мало базовых знаний, а порой даже расширенных в различных областях. Тема сложная и довольно объемная, так как безопасность требует погружения во многие аспекты, но времени для погружения во все не хватает. Мне не хватило каких-нибудь тренировочных стендов, заданий со звездочкой, реальных примеров (в виду специфики курса, потому что нельзя о многих вещах рассказывать, чтобы не скомпроментировать безопасность). Но курс дает очень хорошую базу, обзор типовых инструментов и методов, что помогает в дальнейшем развитие и показывает векторы, в которых можно развиваться. Еще, к сожалению, не удалось поработать с более сложными штуками, такими как например SIEM системы, сетевым оборудованием или возможно подготовленными стендами для попыток атак/защиты. Также на курсе довольно высокий порог вхождения, а обучение проходит по вечерам (после целого рабочего дня + когда дети дома) было тоже весьма утомительно. Спасало только то, что преподаватели действительно увлечены этой темой и рассказывали интересно, порой задерживаясь сверх запланированного времени. Огромный респект всем преподавателям, которые могут адаптироваться к текущим условиям (санкции и уход различных фирм), способны простыми словами рассказывать о сложном и подбадривать на протяжении всего курса! Это правда титанический труд. Обучение помогло упорядочить мои знания, понять боль безопасников, взглянув на проблемы безопасности их глазами. Ну и дало возможность изучить то, на что у самого не хватало сил и времени. За новой должностью не гнался, хотя после получения сертификата появилось несколько предложений, да и в целом я уже мог свободно двигаться в этом направлении. Просто у меня были другие цели

Михаил Пышкин

23.09.2022

Отличный курс, опытные преподаватели-практики и хорошо подобранная программа. Получил огромное удовольствие от курса и увлекательных упражнений. Спасибо всем причастным!

Станислав Шестов

08.09.2022

До обучения работал системным администратором в государственной организации. Параллельно проходил курсы по этичному хаккингу в учебном центре "Специалист", а также регулярно решал задачки на платформах Hack The Box и TryHackMe Меня заинтересовало направление безопасной разработки. С процессом тестирования приложений на уязвимости я уже был знаком, а вот о том, как обеспечивается безопасность в процессе разработки приложений, представления не имел. В процессе обучения понравилась открытость преподавателей, их готовность в ведению дискуссии, высокий уровень профессионализма преподавательского коллектива. Также в положительную сторону я бы отметил актуальность большей части материала и доступность его изложения. Гибкий сроки сдачи отчётностей и возможность получить доступ к материалам в любой момент времени позволили более качественно планировать свое время. Очень хотелось бы, чтобы появилось продолжение курса с материалом более высокого уровня - с удовольствием записался бы на занятия Самое основное, что я приобрёл по итогам обучения- это базовые знания и навыки в этой области, знакомых со схожими интересами и дальнейшее направление развития.

Денис Ивохин

27.02.2022

Добрый день уважаемы Otus! Спасибо большое за курс, за подачу, за очень обширную базу, информацию по курсу, которe. вы предоставили, за профессиональных преподавателей! Позвольте попросить Вас рассмотреть, подобные курсы, но уже с более глубоким погружением, например в SAST/DAST/IAST; WAF; SIEM; именно инструментов opensource! Спасибо!

Artem Kazakov

26.02.2022

Выражаю благодарность Сергею за организацию такого курса. Тема не развита в у нас в стране, и он один из первопроходцев в сфере обучения в этой специфики, это огромная работа. Также хочу отметить Филиппа Игнатенко, как профессионала своего дела и компетентного специалиста, который знает о чем говорит. Платил за курс из своего кармана и не жалею. Конечно курс сыроват, но надо понимать, что это первые шаги в истории обучения DevSecOps в РФ. Зачем делать занятие по SQLI и кидать в ДЗ чит лист по инъекциям - типо делай сам, я не понимаю такой подход. Однако я понимаю реалии и не вчера родился. Сам хотел помочь бы Вам в развитие, так как сам с командой веду сайт itsecforu.ru полностью на некоммерческой основе для развития ИБ у нас в стране. Я всегда на связи и могу помочь и посодействовать Вам в чем смогу, друзья! Респект

Сертификат о прохождении курса

OTUS занимается лицензированной образовательной деятельностью. В конце обучения вы получите свидетельство о повышении квалификации

После обучения вы:

получите доступ к обучающим материалам: видеозаписям вебинаров, презентациям к занятиям
получите свидетельство о повышении квалификации и сертификат OTUS об окончании курса
повысите собственную конкурентоспособность