Внедрение и работа в DevSecOps

Научитесь обеспечивать безопасность в непрерывном процессе разработки

28 февраля

Professional

4 месяца

Онлайн

Пн/Ср 20:00 Мск

Для кого этот курс?

  • Разработчиков. Повысить свою роль в команде за счет освоения навыков безопасной разработки
  • DevOps-инженеров и администраторов. Научиться обеспечивать безопасность инфраструктуры
  • Тестировщиков. Переквалифицироваться в специалистов по поиску уязвимостей
  • Архитекторов. Добавить в свой портфель новое видение безопасности
  • Специалистов по ИБ. Расширить понимание ландшафта киберугроз
  • для специалистов, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе

Необходимые знания

  • Обслуживание приложений в CI/CD (GitLab, Jenkins, и т.п.)
  • Опыт работы с Git (GitHub, GitLab, и т.п.)
  • Работа с инструментами автоматизации конфигурации (Ansible, Chef, и т.п.).
Пройди вступительный тест и оцени свои знания

Что вам даст этот курс?

Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью.
Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. 

Знания и навыки которые вы приобретете:

  • Переход от модели безопасности “защита периметра” к модели “построение безопасности процесса разработки”
  • Выявление и устранение уязвимостей на всех этапах от проектирования архитектуры до вывода в production
  • интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий: анализ возможных атак (Threat Modelling), анализ исходного кода на безопасность (SAST), применение защиты для REST-API внутри микро-сервисных приложений и на back-end, применение Web-Application Firewall (WAF), межсетевые экраны нового поколения (NGFW), ручное и автоматизированное тестирование на проникновение (Penetration Testing), мониторинг безопасности и реакция на события в ИБ (SIEM).

Актуальность DevSecOps

Безопасность данных стала основной метрикой успешного бизнес – приложения и способом снижения репутационных рисков.
Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Group IB, МТС, Тинькофф, Лаборатория Касперского и других.

Процесс обучения

Все обучение проходит онлайн: вебинары, общение с преподавателями и вашей группой в telegram курса, сдача домашних работ и получение обратной связи от преподавателя. Вебинары идут дважды в неделю по 2 академических часа (то есть астрономических 1,5 часа). Все вебинары сохраняются и в записи в вашем личном кабинете. Домашнее задание выдается в среднем раз в 2 недели, а его выполнение занимает 3-5 часов. Мы горячо призываем заниматься такой самостоятельной работой, так как это поможет вам качественно освоить все изучаемые технологии на практике с поддержкой и обратной связью наших преподавателей.

Практика

Практические задания и фокус на реальные навыки, которые востребованы в индустрии

Эксперты

Программу ведут действующие специалисты в области ИБ и реагирования на инциденты

Обширное погружение

Изучим разнообразные типы атак, социальную инженерию и технические каналы утечки информации

Трудоустройство

Многие студенты еще во время прохождения первой части программы находят или меняют работу, а к концу обучения могут претендовать на повышение в должности. 

  • Получите помощь с оформлением резюме, портфолио и сопроводительного письма
  • Разместите свое резюме в базе OTUS и сможете получать приглашения на собеседования от партнеров

Специалист по ИБ

Перспективы направления
Средний уровень зарплат в Москве:
90 000Junior+ специалист
170 000Middle+ специалист
260 000Senior специалист
1084
актуальные вакансии

Работодатель курса

Формат обучения

Интерактивные вебинары 


2 онлайн-трансляции по 2 ак.часа в неделю. Доступ к записям и материалам остается навсегда

Практика

Домашние задания + проектная работа, для усиления вашего портфолио и компетенций

Активное комьюнити

Общайтесь с преподавателями голосом на вебинарах, в закрытом чате Telegram и при проверке домашних заданий

Программа

Базис знаний информационной безопасности

В этом модуле будут рассмотрены основополагающие моменты ИБ. Поговорим о стандартах ИБ и принципах обеспечения ИБ как процесса.

Тема 1: Введение в курс. Термины, стандарты и методики ИБ.

Тема 2: Рынок ИБ: основные тенденции и инструменты для мониторинга.

Тема 3: Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры

Обзор уязвимостей OWASP

Изучим и обсудим классификацию уязвимостей по методологии OWASP.

Тема 1: Разбор уязвимостей OWASP Top 10 Web // ДЗ

Тема 2: Разбор уязвимостей OWASP Top 10 - REST API // ДЗ

Особенности разработки безопасного кода и использования фреймворков

Рассмотрим уязвимости в исходном коде. Рассмотрим также, почему важно не полагаться на сторонние средства безопасности. Обсудим влияние кода на конечный продукт.

Тема 1: Безопасная разработка в HTML/CSS и PHP // ДЗ

Тема 2: Безопасная разработка в Java/Node.js // ДЗ

Тема 3: Безопасная разработка в .NET

Тема 4: Безопасная разработка в Python // ДЗ

Тема 5: Безопасная разработка и уязвимости программного кода // ДЗ

Тема 6: Безопасная разработка в Ruby // ДЗ

Тема 7: Безопасная разработка Kotlin

Тема 8: Q&A. Сессия вопросов и ответов

Разработка безопасных контейнерных и serverless приложений

Рассмотрим контейнеры - best practices современной разработки. Поговорим о безопасности контейнерных сред.

Тема 1: Обеспечение безопасности в ОС Linux

Тема 2: Введение в Docker

Тема 3: Работа с данными и сетями в Docker

Тема 4: Сборка и оптимизация Docker-образов

Тема 5: Обеспечение безопасности в Docker контейнерах // ДЗ

Тема 6: Основные компоненты Kubernetes // ДЗ

Тема 7: Kubernetes. Практика.

Тема 8: Обеспечение безопасности в Kubernetes // ДЗ

Тема 9: Обеспечение безопасности ОС Windows

Интеграция и работа с инструментами ИБ в рамках DevSecOps

Рассмотрим безопасность разработки, ее роль в процессе. Обсудим роль специалиста ИБ в процессе разработки.

Тема 1: Обеспечение безопасности CI/CD тулчейна и DevOps процесса // ДЗ

Тема 2: Обзор DevSecOps инструментария // ДЗ

Тема 3: Анализ исходного кода на безопасность (SAST/ DAST/IAST) // ДЗ

Тема 4: Применение защиты для REST-API внутри микро-сервисных приложений и на back-end // ДЗ

Тема 5: Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection // ДЗ

Тема 6: Q&A. Сессия вопросов и ответов

Тема 7: Современные средства периметральной безопасности сети (NGFW/Sandbox) // ДЗ

Тема 8: Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)

Тема 9: Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR) // ДЗ

Тема 10: Моделирование угроз и тестирование на проникновение // ДЗ

Тема 11: Ручное и автоматизированное тестирование на проникновение (Penetration Testing)

Тема 12: План проекта и методика трансформации организации в DevSecOps

Проектный модуль

Проектный модуль - время для реализации своего проекта. Заключительный этап большого пути перед выходом в мир.

Тема 1: Выбор темы

Тема 2: Консультации и обсуждения проектной работы

Тема 3: Защита проектов

Также вы можете получить полную программу, чтобы убедиться, что обучение вам подходит

Проектная работа

Заключительный месяц курса посвящен проектной работе. Его разработка нужна для окончательного закрепления знаний, которые были получены в рамках пройденных занятий.

Примеры выпускных проектов - читайте в нашем блоге:

Преподаватели

Руководитель курса

Сергей Терешин

Специалист по решениям информационной безопасности

Ментор

Даниил Носенко

Директор

Аутсорсинговая компания

Анастасия Порхун

Специалист по информационной безопасности

Отдел безопасности сетевых приложений

Антон Лукашов

Vulnerability Management Analyst

Совкомбанк-Технологии

Андрей Бирюков

Независимый эксперт по информационной безопасности, CISSP

Ментор

Иван Понуровский

Специалист по информационной безопасности

ООО "Элкомсофт"

Станислав Шиков

Начальник отдела автоматизации, DevOps Engineer

ООО "Кодер"

Руслан Сафин

Senior DevOps Engineer

Алексей Федулаев

Руководитель направления автоматизации безопасной разработки

Wildberries

Александр Горячев

Инженер по информационной безопасности инфраструктуры

BHFT

Эксперты-практики делятся опытом, разбирают кейсы студентов и дают развернутый фидбэк на домашние задания

Прошедшие
мероприятия

Руслан Сафин
Открытый вебинар
Обеспечение безопасности в Docker контейнерах
Александр Горячев
Открытый вебинар
Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)
Для доступа ко всем прошедшим мероприятиям необходимо пройти входное тестирование
Возможность пройти вступительное тестирование повторно появится только через 3 дня
Результаты тестирования будут отправлены вам на email, указанный при регистрации.
Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!

Корпоративное обучение для ваших сотрудников

Отус помогает развивать высокотехнологичные Команды. Почему нам удаётся это делать успешно:
  • Курсы OTUS верифицированы крупными игроками ИТ-рынка и предлагают инструменты и практики, актуальные на данный момент
  • Студенты работают в группах, могут получить консультации не только преподавателей, но и профессионального сообщества
  • OTUS проверяет знания студентов перед стартом обучения и после его завершения
  • Простой и удобный личный кабинет компании, в котором можно видеть статистику по обучению сотрудников
  • Сертификат нашего выпускника за 5 лет стал гарантом качества знаний в обществе
  • OTUS создал в IT более 120 курсов по 7 направлениям, линейка которых расширяется по 40-50 курсов в год

Отзывы

Ильдар Каримов

25.06.2023
Отус, лично у меня, стал неким пропуском в DevSecOps. В далеком 2013 году я устроился в компанию, создал отдел ИБ и проработал администратором ИБ 3 года, дослужился до зама руководителя ИБ, не принял должность и ушел в медицинский стартап. Работая в стартапе потерял квалификацию на 80% и был вынужден искать новую работу. В это время строил VPN в иранской организации. Именно там сильно прокачал свои навыки в linux и сетях, подтянул чуть ИБ, а в октябре 2020 опять вернулся в свою компанию, но уже методологом ИБ, а затем и руководителем ИБ. Как руководитель, я понимал, что мне важно понимать DevSecOps направление и бывшие коллеги как раз порекомендовали курс в Отус. В своей день рождения объявил директору, что подумал и все-таки хочу быть devsecops-инженером. Когда мою кандидатуру согласовали, я начал лабораторные задания курса реализовывать у себя на работе, в результате развернул sonarqub, trivy, owasp zap (локально), defectdojo, локальный jekins, локальный gitlab. К сожалению, на данный момент далеко не все идеально и не в автоматическом режиме, работы много (как и писал в своем дипломном проекте) и это я все делаю в одиночку. Но именно наличие обучения сыграло дополнительным весом в сторону утверждения моей кандидатуры. У меня есть огромное желание развиваться в этом направлении, это прибыльная и интересная сфера. Сейчас я анализирую средства RASP, Lint, много непонятного как, куда, в какой момент, но именно это и движет мной. На курсе у меня была боевая практика, которая расставила все на свои места. Отусу могу сказать только спасибо за курс, который я прошел. Зона роста у курса devsecops - это больше практики, именно лабораторки, как в университете. Я думаю можно прям онлайн, когда преподаватель сидит и смотрит все мониторы учащихся, а затем прорабатывает проблемные моменты.

Алексей Добшиков

24.10.2022
На курсе "Внедрение и работа в DevSecOps" меня заинтересовала программа обучения. Ранее мне не приходилось работать с инструментами и процессами ИБ для проверки приложений. Поэтому уже с первых дней занятий стало понятно, что есть что изучать. Создатель курса и весь преподавательский состав помогли разобраться с программой и выполнить итоговый проект. В итоге я научился работать с новыми инструментами для анализа уязвимостей web-приложений, тестированием образов, открыл для себя новую терминологию Курс был мне полезен. Сейчас я применяю практики DevSecOps в компании улучшая уже существующие процессы CI/CD.

Дмитрий Харламов

25.09.2022
Я работаю Release Engineer в компании Exness и в моем багаже 16 лет стажа в ИТ от сисадмина до Team Leader DevOps team Всегда так или иначе сталкивался с безопасностью (статик анализаторы, защита периметра, PSI DSS и HIPA compliance). Хотел упорядочить знания и исследовать темную сторону. В компании Exness всех массово отправляли учится и дали на выбор список курсов. Я сомневался между devsecops, python разработчик и что-то про эффективных менеджеров. Выбрал то, с чем чаще сталкивался. Курс очень специфический и требует не мало базовых знаний, а порой даже расширенных в различных областях. Тема сложная и довольно объемная, так как безопасность требует погружения во многие аспекты, но времени для погружения во все не хватает. Мне не хватило каких-нибудь тренировочных стендов, заданий со звездочкой, реальных примеров (в виду специфики курса, потому что нельзя о многих вещах рассказывать, чтобы не скомпроментировать безопасность). Но курс дает очень хорошую базу, обзор типовых инструментов и методов, что помогает в дальнейшем развитие и показывает векторы, в которых можно развиваться. Еще, к сожалению, не удалось поработать с более сложными штуками, такими как например SIEM системы, сетевым оборудованием или возможно подготовленными стендами для попыток атак/защиты. Также на курсе довольно высокий порог вхождения, а обучение проходит по вечерам (после целого рабочего дня + когда дети дома) было тоже весьма утомительно. Спасало только то, что преподаватели действительно увлечены этой темой и рассказывали интересно, порой задерживаясь сверх запланированного времени. Огромный респект всем преподавателям, которые могут адаптироваться к текущим условиям (санкции и уход различных фирм), способны простыми словами рассказывать о сложном и подбадривать на протяжении всего курса! Это правда титанический труд. Обучение помогло упорядочить мои знания, понять боль безопасников, взглянув на проблемы безопасности их глазами. Ну и дало возможность изучить то, на что у самого не хватало сил и времени. За новой должностью не гнался, хотя после получения сертификата появилось несколько предложений, да и в целом я уже мог свободно двигаться в этом направлении. Просто у меня были другие цели

Михаил Пышкин

23.09.2022
Отличный курс, опытные преподаватели-практики и хорошо подобранная программа. Получил огромное удовольствие от курса и увлекательных упражнений. Спасибо всем причастным!

Станислав Шестов

08.09.2022
До обучения работал системным администратором в государственной организации. Параллельно проходил курсы по этичному хаккингу в учебном центре "Специалист", а также регулярно решал задачки на платформах Hack The Box и TryHackMe Меня заинтересовало направление безопасной разработки. С процессом тестирования приложений на уязвимости я уже был знаком, а вот о том, как обеспечивается безопасность в процессе разработки приложений, представления не имел. В процессе обучения понравилась открытость преподавателей, их готовность в ведению дискуссии, высокий уровень профессионализма преподавательского коллектива. Также в положительную сторону я бы отметил актуальность большей части материала и доступность его изложения. Гибкий сроки сдачи отчётностей и возможность получить доступ к материалам в любой момент времени позволили более качественно планировать свое время. Очень хотелось бы, чтобы появилось продолжение курса с материалом более высокого уровня - с удовольствием записался бы на занятия Самое основное, что я приобрёл по итогам обучения- это базовые знания и навыки в этой области, знакомых со схожими интересами и дальнейшее направление развития.

Денис Ивохин

27.02.2022
Добрый день уважаемы Otus! Спасибо большое за курс, за подачу, за очень обширную базу, информацию по курсу, которe. вы предоставили, за профессиональных преподавателей! Позвольте попросить Вас рассмотреть, подобные курсы, но уже с более глубоким погружением, например в SAST/DAST/IAST; WAF; SIEM; именно инструментов opensource! Спасибо!

Artem Kazakov

26.02.2022
Выражаю благодарность Сергею за организацию такого курса. Тема не развита в у нас в стране, и он один из первопроходцев в сфере обучения в этой специфики, это огромная работа. Также хочу отметить Филиппа Игнатенко, как профессионала своего дела и компетентного специалиста, который знает о чем говорит. Платил за курс из своего кармана и не жалею. Конечно курс сыроват, но надо понимать, что это первые шаги в истории обучения DevSecOps в РФ. Зачем делать занятие по SQLI и кидать в ДЗ чит лист по инъекциям - типо делай сам, я не понимаю такой подход. Однако я понимаю реалии и не вчера родился. Сам хотел помочь бы Вам в развитие, так как сам с командой веду сайт itsecforu.ru полностью на некоммерческой основе для развития ИБ у нас в стране. Я всегда на связи и могу помочь и посодействовать Вам в чем смогу, друзья! Респект

Сертификат о прохождении курса

OTUS осуществляет лицензированную образовательную деятельность.
В конце обучения вы получите сертификат OTUS о прохождении курса

После обучения вы: 

  • заберете с собой полный комплект обучающих материалов: видеозаписи всех вебинаров, презентации к занятиям и другие дополнительные материалы
  • получите сертификат об окончании курса
  • повысите свою ценность и конкурентоспособность как IT-специалиста

Частые вопросы

Что, если в середине курса я не смогу продолжать обучение?
У вас есть право одного бесплатного трансфера в другую группу
Обязательно ли защищать выпускной проект?
Для получения сертификата OTUS необходимо сдать проект. Кроме того, проект необязательно защищать перед аудиторией, а можно сдать в чате с преподавателем.
Я могу вернуть деньги?
Да, вы можете сделать возврат средств пропорционально оставшимся месяцам обучения.