OTUS Logo

UserPartName

Безопасность
Внедрение и работа в DevSecOps

Рассрочка

Внедрение и работа в DevSecOps

Научитесь обеспечивать безопасность в непрерывном процессе разработки

30 октября

Professional

5 месяцев

Онлайн

Пн/Ср 20:00 Мск

Для кого этот курс?

  • Разработчиков. Повысить свою роль в команде за счет освоения навыков безопасной разработки
  • DevOps-инженеров и администраторов. Научиться обеспечивать безопасность инфраструктуры
  • Тестировщиков. Переквалифицироваться в специалистов по поиску уязвимостей
  • Архитекторов. Добавить в свой портфель новое видение безопасности
  • Специалистов по ИБ. Расширить понимание ландшафта киберугроз
  • для специалистов, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе

Необходимые знания

  • Обслуживание приложений в CI/CD (GitLab, Jenkins, и т.п.)
  • Опыт работы с Git (GitHub, GitLab, и т.п.)
  • Работа с инструментами автоматизации конфигурации (Ansible, Chef, и т.п.).

Что вам даст этот курс?

Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью.
Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. 

Знания и навыки которые вы приобретете:

  • Переход от модели безопасности “защита периметра” к модели “построение безопасности процесса разработки”
  • Выявление и устранение уязвимостей на всех этапах от проектирования архитектуры до вывода в production
  • интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий: анализ возможных атак (Threat Modelling), анализ исходного кода на безопасность (SAST), применение защиты для REST-API внутри микро-сервисных приложений и на back-end, применение Web-Application Firewall (WAF), межсетевые экраны нового поколения (NGFW), ручное и автоматизированное тестирование на проникновение (Penetration Testing), мониторинг безопасности и реакция на события в ИБ (SIEM).

Актуальность DevSecOps

Безопасность данных стала основной метрикой успешного бизнес – приложения и способом снижения репутационных рисков.
Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Group IB, МТС, Тинькофф, Лаборатория Касперского и других.

Процесс обучения

Все обучение проходит онлайн: вебинары, общение с преподавателями и вашей группой в telegram курса, сдача домашних работ и получение обратной связи от преподавателя. Вебинары идут дважды в неделю по 2 академических часа (то есть астрономических 1,5 часа). Все вебинары сохраняются и в записи в вашем личном кабинете. Домашнее задание выдается в среднем раз в 2 недели, а его выполнение занимает 3-5 часов. Мы горячо призываем заниматься такой самостоятельной работой, так как это поможет вам качественно освоить все изучаемые технологии на практике с поддержкой и обратной связью наших преподавателей.

Трудоустройство

Многие студенты еще во время прохождения первой части программы находят или меняют работу, а к концу обучения могут претендовать на повышение в должности. 

  • Получите помощь с оформлением резюме, портфолио и сопроводительного письма
  • Разместите свое резюме в базе OTUS и сможете получать приглашения на собеседования от партнеров

Специалист по ИБ

Перспективы направления
Средний уровень зарплат в Москве:
90 000Junior+ специалист
170 000Middle+ специалист
260 000Senior специалист
1084
актуальные вакансии

Работодатель курса

Формат обучения

Интерактивные вебинары 


2 онлайн-трансляции по 2 ак.часа в неделю. Доступ к записям и материалам остается навсегда

Практика

Домашние задания + проектная работа, для усиления вашего портфолио и компетенций

Активное комьюнити

Общайтесь с преподавателями голосом на вебинарах, в закрытом чате Telegram и при проверке домашних заданий

Программа

Базис знаний информационной безопасности

В этом модуле будут рассмотрены основополагающие моменты ИБ. Поговорим о стандартах ИБ и принципах обеспечения ИБ, как процесса.

Тема 1: Вводная лекция. Правила, целеполагание и рекомендации

Тема 2: Словарь, термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности

Тема 3: Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры

Обзор уязвимостей OWASP

Изучим и обсудим классификацию уязвимостей по методологии OWASP.

Тема 1: Разбор уязвимостей OWASP Top 10 Web // ДЗ

Тема 2: Разбор уязвимостей OWASP Top 10 - REST API // ДЗ

Особенности разработки безопасного кода и использования фреймворков

Рассмотрим уязвимости в исходном коде. Почему важно не полагаться на сторонние средства безопасности. Влияние кода на конечный продукт.

Тема 1: Безопасная разработка в HTML/CSS и PHP // ДЗ

Тема 2: Безопасная разработка в Java/Node.js // ДЗ

Тема 3: Безопасная разработка в .NET

Тема 4: Безопасная разработка в Python // ДЗ

Тема 5: Безопасная разработка и уязвимости программного кода // ДЗ

Тема 6: Безопасная разработка в Ruby // ДЗ

Тема 7: Безопасная разработка Kotlin

Тема 8: Q&A. Сессия вопросов и ответов

Разработка безопасных контейнерных и serverless приложений

Рассмотрим контейнеры - best practices современной разработки. Поговорим о безопасности контейнерных сред.

Тема 1: Введение в Docker

Тема 2: Работа с данными и сетями в Docker

Тема 3: Сборка и оптимизация Docker-образов

Тема 4: Обеспечение безопасности в Docker контейнерах // ДЗ

Тема 5: Основные компоненты Kubernetes // ДЗ

Тема 6: Kubernetes. Практика.

Тема 7: Обеспечение безопасности в Kubernetes // ДЗ

Тема 8: Обеспечение безопасности в ОС Linux

Тема 9: Обеспечение безопасности ОС Windows

Интеграция и работа с инструментами ИБ в рамках DevSecOps

Безопасность разработки. Ее роль в процессе. Роль специалиста ИБ в процессе разработки.

Тема 1: Обеспечение безопасности CI/CD тулчейна и DevOps процесса // ДЗ

Тема 2: Обзор DevSecOps инструментария // ДЗ

Тема 3: Анализ исходного кода на безопасность (SAST/ DAST/IAST) // ДЗ

Тема 4: Применение защиты для REST-API внутри микро-сервисных приложений и на back-end // ДЗ

Тема 5: Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection // ДЗ

Тема 6: Q&A. Сессия вопросов и ответов

Тема 7: Современные средства периметральной безопасности сети (NGFW/Sandbox) // ДЗ

Тема 8: Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)

Тема 9: Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR) // ДЗ

Тема 10: Моделирование угроз и тестирование на проникновение // ДЗ

Тема 11: Ручное и автоматизированное тестирование на проникновение (Penetration Testing)

Тема 12: План проекта и методика трансформации организации в DevSecOps

Проектный модуль

Проектный модуль - время для реализации своего проекта. Заключительный этап большого пути перед выходом в мир.

Тема 1: Выбор темы

Тема 2: Консультации и обсуждения проектной работы

Тема 3: Защита проектов

Также вы можете получить полную программу, чтобы убедиться, что обучение вам подходит

Выпускная работа

Заключительный месяц курса посвящен проектной работе. Его разработка нужна для окончательного закрепления знаний, которые были получены в рамках пройденных занятий.

Примеры выпускных проектов - читайте в нашем блоге:

Преподаватели

Руководитель курса

Сергей Терешин

Ментор

Даниил Носенко

Анастасия Порхун

Антон Лукашов

Vulnerability Management Analyst

Совкомбанк-Технологии

Андрей Бирюков

Иван Понуровский

Специалист по информационной безопасности

ООО "Элкомсофт"

Станислав Шиков

Начальник отдела автоматизации, DevOps Engineer

ООО "Кодер"

Руслан Сафин

Senior DevOps Engineer

Яндекс

Александр Горячев

Инженер по информационной безопасности инфраструктуры

BHFT

Эксперты-практики делятся опытом, разбирают кейсы студентов и дают развернутый фидбэк на домашние задания

Ближайшие мероприятия

Открытый вебинар — это настоящее занятие в режиме он-лайн с преподавателем курса, которое позволяет посмотреть, как проходит процесс обучения. В ходе занятия слушатели имеют возможность задать вопросы и получить знания по реальным практическим кейсам.

Разбор уязвимостей OWASP Top 10 Web
Иван Понуровский
Приглашаем вас на вебинар, посвященный разбору уязвимостей OWASP Top 10 Web, в рамках курса "Внедрение и работа в DevSecOps". На этом вебинаре мы рассмотрим самые часто встречающиеся web-уязвимости и научимся классифицировать их согласно терминологии OWASP, включая Access Control, Cryptographic Failures и другие.

На вебинаре вы узнаете:
1.Основы OWASP Top 10 Web:
- Обзор самых распространенных уязвимостей веб-приложений;
- Изучение терминологии OWASP и классификация уязвимостей по категориям;
- Знакомство с примерами реальных атак по каждой из категорий уязвимостей.

2.Практическое решение и проэксплуатация уязвимостей:
- Демонстрация на практике, как уязвимости могут быть проэксплуатированы;
- Разбор конкретных случаев и вариантов атак, связанных с каждой уязвимостью;
- Лучшие практики и советы по предотвращению и защите от этих уязвимостей.

3.Значимость разбора уязвимостей для управления безопасностью:
- Понимание важности систематического разбора и анализа уязвимостей веб-приложений;
- Роль DevSecOps и интеграция безопасности в жизненный цикл разработки;
- Практические инструменты и подходы к разбору уязвимостей в DevSecOps.

Записывайтесь сейчас, а мы вам, потом напомним!...
4 октября в 17:00
Открытый вебинар
Обеспечение безопасности в Kubernetes
Руслан Сафин
Приглашаем вас на вебинар, посвященный обеспечению безопасности в Kubernetes. В ходе этого вебинара мы рассмотрим особенности защиты Kubernetes инфраструктуры и приложений в различных вариантах использования, включая собственные кластеры и control plane в собственном дата-центре, а также управляемые облаком Kubernetes: AWS EKS, Azure AKS, GCP GKE.

На вебинаре мы сосредоточимся на следующих аспектах:
1. Основы безопасности в Kubernetes:
- Понятя о подписывании, шифровании и аутентификации в Kubernetes;
- Контроль доступа в Kubernetes и авторизация ролей и прав доступа;
- Мониторинг и аудит событий для обнаружения возможных угроз и нарушений.

2. Безопасность при собственном кластере и control plane в собственном дата-центре:
- Обзор лучших практик для обеспечения безопасности инфраструктуры Kubernetes в собственном дата-центре;
- Сетевая безопасность и сегментация с использованием сетевых политик и механизмов сетевого изоляции;
- Защита конфиденциальности данных и средства криптографической защиты данных.

3. Безопасность в управляемых облачных Kubernetes:
- Особенности и инструменты безопасности для AWS EKS, Azure AKS, GCP GKE;
- Контроль доступа и управление IAM ролями в облачных сервисах Kubernetes;
- Использование встроенных средств облачной безопасности и совместная ответственность....
18 октября в 17:00
Открытый вебинар

Прошедшие
мероприятия

Анастасия Порхун
Открытый вебинар
Обзор ИБ-инструментария в рамках подхода DevSecOps.
Сергей Терешин
Открытый вебинар
Современные средства периметральной безопасности
Для доступа ко всем прошедшим мероприятиям необходимо пройти входное тестирование
Возможность пройти вступительное тестирование повторно появится только через 2 недели
Результаты тестирования будут отправлены вам на email, указанный при регистрации.
Тест рассчитан на 30 минут, после начала тестирования отложить тестирование не получится!

Корпоративное обучение для ваших сотрудников

Отус помогает развивать высокотехнологичные Команды. Почему нам удаётся это делать успешно:
  • Курсы OTUS верифицированы крупными игроками ИТ-рынка и предлагают инструменты и практики, актуальные на данный момент
  • Студенты работают в группах, могут получить консультации не только преподавателей, но и профессионального сообщества
  • OTUS проверяет знания студентов перед стартом обучения и после его завершения
  • Простой и удобный личный кабинет компании, в котором можно видеть статистику по обучению сотрудников
  • Сертификат нашего выпускника за 5 лет стал гарантом качества знаний в обществе
  • OTUS создал в IT более 120 курсов по 7 направлениям, линейка которых расширяется по 40-50 курсов в год

Отзывы

Artem Kazakov

26.02.2022
Выражаю благодарность Сергею за организацию такого курса. Тема не развита в у нас в стране, и он один из первопроходцев в сфере обучения в этой специфики, это огромная работа. Также хочу отметить Филиппа Игнатенко, как профессионала своего дела и компетентного специалиста, который знает о чем говорит. Платил за курс из своего кармана и не жалею. Конечно курс сыроват, но надо понимать, что это первые шаги в истории обучения DevSecOps в РФ. Зачем делать занятие по SQLI и кидать в ДЗ чит лист по инъекциям - типо делай сам, я не понимаю такой подход. Однако я понимаю реалии и не вчера родился. Сам хотел помочь бы Вам в развитие, так как сам с командой веду сайт itsecforu.ru полностью на некоммерческой основе для развития ИБ у нас в стране. Я всегда на связи и могу помочь и посодействовать Вам в чем смогу, друзья! Респект

Денис Ивохин

27.02.2022
Добрый день уважаемы Otus! Спасибо большое за курс, за подачу, за очень обширную базу, информацию по курсу, которe. вы предоставили, за профессиональных преподавателей! Позвольте попросить Вас рассмотреть, подобные курсы, но уже с более глубоким погружением, например в SAST/DAST/IAST; WAF; SIEM; именно инструментов opensource! Спасибо!

Станислав Шестов

08.09.2022
До обучения работал системным администратором в государственной организации. Параллельно проходил курсы по этичному хаккингу в учебном центре "Специалист", а также регулярно решал задачки на платформах Hack The Box и TryHackMe Меня заинтересовало направление безопасной разработки. С процессом тестирования приложений на уязвимости я уже был знаком, а вот о том, как обеспечивается безопасность в процессе разработки приложений, представления не имел. В процессе обучения понравилась открытость преподавателей, их готовность в ведению дискуссии, высокий уровень профессионализма преподавательского коллектива. Также в положительную сторону я бы отметил актуальность большей части материала и доступность его изложения. Гибкий сроки сдачи отчётностей и возможность получить доступ к материалам в любой момент времени позволили более качественно планировать свое время. Очень хотелось бы, чтобы появилось продолжение курса с материалом более высокого уровня - с удовольствием записался бы на занятия Самое основное, что я приобрёл по итогам обучения- это базовые знания и навыки в этой области, знакомых со схожими интересами и дальнейшее направление развития.

Михаил Пышкин

23.09.2022
Отличный курс, опытные преподаватели-практики и хорошо подобранная программа. Получил огромное удовольствие от курса и увлекательных упражнений. Спасибо всем причастным!

Дмитрий Харламов

25.09.2022
Я работаю Release Engineer в компании Exness и в моем багаже 16 лет стажа в ИТ от сисадмина до Team Leader DevOps team Всегда так или иначе сталкивался с безопасностью (статик анализаторы, защита периметра, PSI DSS и HIPA compliance). Хотел упорядочить знания и исследовать темную сторону. В компании Exness всех массово отправляли учится и дали на выбор список курсов. Я сомневался между devsecops, python разработчик и что-то про эффективных менеджеров. Выбрал то, с чем чаще сталкивался. Курс очень специфический и требует не мало базовых знаний, а порой даже расширенных в различных областях. Тема сложная и довольно объемная, так как безопасность требует погружения во многие аспекты, но времени для погружения во все не хватает. Мне не хватило каких-нибудь тренировочных стендов, заданий со звездочкой, реальных примеров (в виду специфики курса, потому что нельзя о многих вещах рассказывать, чтобы не скомпроментировать безопасность). Но курс дает очень хорошую базу, обзор типовых инструментов и методов, что помогает в дальнейшем развитие и показывает векторы, в которых можно развиваться. Еще, к сожалению, не удалось поработать с более сложными штуками, такими как например SIEM системы, сетевым оборудованием или возможно подготовленными стендами для попыток атак/защиты. Также на курсе довольно высокий порог вхождения, а обучение проходит по вечерам (после целого рабочего дня + когда дети дома) было тоже весьма утомительно. Спасало только то, что преподаватели действительно увлечены этой темой и рассказывали интересно, порой задерживаясь сверх запланированного времени. Огромный респект всем преподавателям, которые могут адаптироваться к текущим условиям (санкции и уход различных фирм), способны простыми словами рассказывать о сложном и подбадривать на протяжении всего курса! Это правда титанический труд. Обучение помогло упорядочить мои знания, понять боль безопасников, взглянув на проблемы безопасности их глазами. Ну и дало возможность изучить то, на что у самого не хватало сил и времени. За новой должностью не гнался, хотя после получения сертификата появилось несколько предложений, да и в целом я уже мог свободно двигаться в этом направлении. Просто у меня были другие цели

Алексей Добшиков

24.10.2022
На курсе "Внедрение и работа в DevSecOps" меня заинтересовала программа обучения. Ранее мне не приходилось работать с инструментами и процессами ИБ для проверки приложений. Поэтому уже с первых дней занятий стало понятно, что есть что изучать. Создатель курса и весь преподавательский состав помогли разобраться с программой и выполнить итоговый проект. В итоге я научился работать с новыми инструментами для анализа уязвимостей web-приложений, тестированием образов, открыл для себя новую терминологию Курс был мне полезен. Сейчас я применяю практики DevSecOps в компании улучшая уже существующие процессы CI/CD.

Сертификат о прохождении курса

OTUS осуществляет лицензированную образовательную деятельность.
В конце обучения вы получите сертификат OTUS о прохождении курса

После обучения вы: 

  • заберете с собой полный комплект обучающих материалов: видеозаписи всех вебинаров, презентации к занятиям и другие дополнительные материалы
  • получите сертификат об окончании курса
  • повысите свою ценность и конкурентоспособность как IT-специалиста

Частые вопросы

Что, если в середине курса я не смогу продолжать обучение?
У вас есть право одного бесплатного трансфера в другую группу
Обязательно ли защищать выпускной проект?
Для получения сертификата OTUS необходимо сдать проект. Кроме того, проект необязательно защищать перед аудиторией, а можно сдать в чате с преподавателем.
С какого момента я смогу заниматься трудоустройством?
Получить карьерную консультацию вы сможете уже в начале обучения. Остальные опции: помощь с резюме, добавление резюме в нашу базу специалистов и т.д. будут доступны после окончания обучения.
Я могу вернуть деньги?
Да, вы можете сделать возврат средств пропорционально оставшимся месяцам обучения.