Дмитрий Харламов о курсе «Внедрение и работа в DevSecOps» в Otus

Дмитрий Харламов

Я работаю Release Engineer в компании Exness и в моем багаже 16 лет стажа в ИТ от сисадмина до Team Leader DevOps team Всегда так или иначе сталкивался с безопасностью (статик анализаторы, защита периметра, PSI DSS и HIPA compliance). Хотел упорядочить знания и исследовать темную сторону. В компании Exness всех массово отправляли учится и дали на выбор список курсов. Я сомневался между devsecops, python разработчик и что-то про эффективных менеджеров. Выбрал то, с чем чаще сталкивался. Курс очень специфический и требует не мало базовых знаний, а порой даже расширенных в различных областях. Тема сложная и довольно объемная, так как безопасность требует погружения во многие аспекты, но времени для погружения во все не хватает. Мне не хватило каких-нибудь тренировочных стендов, заданий со звездочкой, реальных примеров (в виду специфики курса, потому что нельзя о многих вещах рассказывать, чтобы не скомпроментировать безопасность). Но курс дает очень хорошую базу, обзор типовых инструментов и методов, что помогает в дальнейшем развитие и показывает векторы, в которых можно развиваться. Еще, к сожалению, не удалось поработать с более сложными штуками, такими как например SIEM системы, сетевым оборудованием или возможно подготовленными стендами для попыток атак/защиты. Также на курсе довольно высокий порог вхождения, а обучение проходит по вечерам (после целого рабочего дня + когда дети дома) было тоже весьма утомительно. Спасало только то, что преподаватели действительно увлечены этой темой и рассказывали интересно, порой задерживаясь сверх запланированного времени. Огромный респект всем преподавателям, которые могут адаптироваться к текущим условиям (санкции и уход различных фирм), способны простыми словами рассказывать о сложном и подбадривать на протяжении всего курса! Это правда титанический труд. Обучение помогло упорядочить мои знания, понять боль безопасников, взглянув на проблемы безопасности их глазами. Ну и дало возможность изучить то, на что у самого не хватало сил и времени. За новой должностью не гнался, хотя после получения сертификата появилось несколько предложений, да и в целом я уже мог свободно двигаться в этом направлении. Просто у меня были другие цели

Вячеслав Postemskiy

Курс понравился. Грамотные и терпеливые преподаватели, интересные и полезные занятия и домашние задания, удобная техподдержка. В процессе прохождения курса у меня даже получилось оперативно применить новые знания в работе. После занятия по безопасности разработки на Python у меня получилось использовать рекомендацию, описанную на занятии для устранения уязвимости, обнаруженной статическим анализатором. Больше всего на курсе мне понравилось выполнять домашние задания на интересные темы. К заданиям предусмотрены подробные инструкции и это большой плюс. На курсе компетентные и лояльные преподаватели, которые дают развёрнутую обратную связь при проверке домашних заданий. Для меня самыми полезными были уроки, на которых рассматривались проблемы безопасности в языках программирования и способы их митигации. Ещё понравились занятия с упоминанием конкретных инструментов DevSecOps.

Антон Болгов

В общем и целом курс понравился. Курс помог освежить знания и приобрести новые в рамках ИБ и devsecops инструментов и методов работы с ними. Больше всего понравились темы связанные с практической работой и инструментами devsecops, контейниризация SAST, DAST работу по настройки безопасного gitlab ci пайпалайн, что как раз пригодилось в рабочих задачах. Знания с данного курса помогли узнать о данных инструментах и в последствии реализовать в рабочих кейсах. По поводу совета друзьям или коллегам, я бы его посоветовал тем кто только начинает знакомиться с тематикой devsecops и не имеет никакого проф образования в данном направления. Для тех, у кого уже есть опыт и знания в сфере ИБ особенно интересно будет изучать вторую часть курса, где преподаватели рассказывают про инструменты и методологии подхода в devsecops

Нурбек

На курсе мне всё очень понравилось! Учебный материал был полезным, я узнал много нового для себя. Особенно хочу отметить замечательных преподавателей Сергея Терешина и Анастасию Порхун. Курс отлично подходит для изучения настроек и работы 1С, поэтому обязательно бы порекомендовал его коллегам и друзьям. Занятия по Docker и kubernetes мне понравились больше всего.

Алексей Нетёса

Курс "Внедрение и работа в DevSecOps" помог мне в получении новых знаний, а также на практике изучить новые инструменты для обеспечения безопасной разработки. Очень понравилось разнообразие практических заданий по широкому кругу вопросов безопасности, а также привлечение опытных преподавателей. Для себя открыл много новых интересных тем, куда можно двигаться и развиваться дальше в профессиональном плане. Хотелось бы, чтобы в курсе было больше практических заданий в части работы с инструментами DevSecOps.

Егор

Данный курс позволил освоить методологии и инструменты DevSecOps. Курс дал как теоретические знания, так и практические, благодаря домашним заданиям по пройденным темам. Если у кого-то возникали какие-то вопросы или сложности с домашними заданиями, то ему оперативно отвечали в чате руководитель курса или сами преподаватели. Понравилось то, что в курсе нет строгих дедлайнов по выполнению каждой работы, есть только срок до конца курса, даже после сдачи проектной работы. Данный момент очень важен, так как с работой не всегда получается совместить выполнение домашних работ по времени. В курсе понравилось то, что их ведут практикующие специалисты, которые могут ответить не только на то, что написано в лекции, но и на сопутствующие вопросы по теме. Благодаря изученному материалу, смог перенять какие-то изученные практики и инструменты в компанию, в которой работаю, что было отражено в заключительной проектной работе. Из плюсов можно также отметить то, что после защиты проектной работы получаешь официальный сертификат о прохождении обучения, и доступ к материалам курса не закрывается после его завершения.

Ильдар Каримов

Отус, лично у меня, стал неким пропуском в DevSecOps. В далеком 2013 году я устроился в компанию, создал отдел ИБ и проработал администратором ИБ 3 года, дослужился до зама руководителя ИБ, не принял должность и ушел в медицинский стартап. Работая в стартапе потерял квалификацию на 80% и был вынужден искать новую работу. В это время строил VPN в иранской организации. Именно там сильно прокачал свои навыки в linux и сетях, подтянул чуть ИБ, а в октябре 2020 опять вернулся в свою компанию, но уже методологом ИБ, а затем и руководителем ИБ. Как руководитель, я понимал, что мне важно понимать DevSecOps направление и бывшие коллеги как раз порекомендовали курс в Отус. В своей день рождения объявил директору, что подумал и все-таки хочу быть devsecops-инженером. Когда мою кандидатуру согласовали, я начал лабораторные задания курса реализовывать у себя на работе, в результате развернул sonarqub, trivy, owasp zap (локально), defectdojo, локальный jekins, локальный gitlab. К сожалению, на данный момент далеко не все идеально и не в автоматическом режиме, работы много (как и писал в своем дипломном проекте) и это я все делаю в одиночку. Но именно наличие обучения сыграло дополнительным весом в сторону утверждения моей кандидатуры. У меня есть огромное желание развиваться в этом направлении, это прибыльная и интересная сфера. Сейчас я анализирую средства RASP, Lint, много непонятного как, куда, в какой момент, но именно это и движет мной. На курсе у меня была боевая практика, которая расставила все на свои места. Отусу могу сказать только спасибо за курс, который я прошел. Зона роста у курса devsecops - это больше практики, именно лабораторки, как в университете. Я думаю можно прям онлайн, когда преподаватель сидит и смотрит все мониторы учащихся, а затем прорабатывает проблемные моменты.