3 курса DevSecOps

Курс "Внедрение и работа в DevSecOps" от OTUS предназначен для широкого круга IT-специалистов, включая разработчиков, DevOps-инженеров, тестировщиков, архитекторов и специалистов по информационной безопасности, стремящихся расширить свои компетенции в области безопасной разработки и обслуживания приложений и инфраструктуры. Основной акцент курса делается на интеграцию практик безопасности в непрерывный процесс разработки с помощью методологии DevSecOps, что становится все более актуальным в свете растущего числа киберугроз и необходимости обеспечения данных и приложений.

Программа обучения рассчитана на 5 месяцев и включает в себя вступительное тестирование для оценки уровня подготовки участников. Занятия проводятся онлайн дважды в неделю, каждое продолжительностью 1,5 часа, с возможностью доступа к записям. Учебный процесс включает в себя регулярное выполнение домашних заданий и проектную работу на заключительном этапе курса, что позволяет участникам на практике применить полученные знания и навыки.

Основные темы курса охватывают переход от модели безопасности "защита периметра" к модели "построение безопасности в процессе разработки", выявление и устранение уязвимостей на всех этапах жизненного цикла разработки, а также интеграцию инструментов информационной безопасности в CI/CD процессы. Участники изучат применение различных инструментов и методик для обеспечения безопасности приложений и инфраструктуры, включая анализ возможных атак, анализ исходного кода на безопасность, применение защиты для REST-API и многое другое.

Помимо теоретических знаний, большой акцент делается на практическом применении изучаемого материала. Программа курса предусматривает обширную практику, включая выполнение домашних заданий и проектную работу, что позволяет глубже погрузиться в материал и развить реальные навыки, востребованные в индустрии.

Преподаватели курса - действующие специалисты в области информационной безопасности и реагирования на инциденты, что гарантирует актуальность и практическую значимость материала. По завершении обучения участники не только получают сертификат от OTUS, но и значительно повышают свою конкурентоспособность на рынке труда, где специалисты в области DevSecOps являются высокооплачиваемыми и востребованными.

• Длительность: 5 месяцев.
• Формат: Онлайн, Пн/Ср в 20:00 МСК.
• Целевая аудитория: разработчики, DevOps-инженеры, тестировщики, архитекторы, специалисты по информационной безопасности.
• Предварительные требования: опыт работы с Git, CI/CD (например, GitLab, Jenkins), инструментами автоматизации конфигурации (Ansible, Chef и т.п.).

Цели курса:

• Обучение интеграции практик безопасности в непрерывный процесс разработки с использованием методологии DevSecOps.
• Переход от модели "защита периметра" к "построению безопасности в процессе разработки".
• Выявление и устранение уязвимостей на всех этапах жизненного цикла разработки.

Особенности программы:

• Обучение онлайн: вебинары дважды в неделю + доступ к записям.
• Практическая направленность: регулярные домашние задания и проектная работа на заключительном этапе.
• Экспертные преподаватели: действующие специалисты в области ИБ и реагирования на инциденты.
• Практические задания: фокус на реальные навыки, востребованные в индустрии.

Преимущества после завершения курса:

• Получение сертификата от OTUS.
• Повышение конкурентоспособности на рынке труда.
• Возможность занять высокооплачиваемые позиции в крупных компаниях.

Программа курса "Внедрение и работа в DevSecOps"

Базис знаний информационной безопасности

• Тема 1: Введение в курс. Термины, стандарты и методики ИБ
• Тема 2: Рынок ИБ: основные тенденции и инструменты для мониторинга
• Тема 3: Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры

Обзор уязвимостей OWASP

• Тема 1: Разбор уязвимостей OWASP Top 10 Web // ДЗ
• Тема 2: Разбор уязвимостей OWASP Top 10 - REST API // ДЗ

Особенности разработки безопасного кода и использования фреймворков

• Тема 1: Безопасная разработка в HTML/CSS и PHP // ДЗ
• Тема 2: Безопасная разработка в Java/Node.js // ДЗ
• Тема 3: Безопасная разработка в .NET
• Тема 4: Безопасная разработка в Python // ДЗ
• Тема 5: Безопасная разработка и уязвимости программного кода // ДЗ
• Тема 6: Безопасная разработка в Ruby // ДЗ
• Тема 7: Безопасная разработка Kotlin
• Тема 8: Q&A. Сессия вопросов и ответов

Разработка безопасных контейнерных и serverless приложений

• Тема 1: Обеспечение безопасности в ОС Linux
• Тема 2: Введение в Docker
• Тема 3: Работа с данными и сетями в Docker
• Тема 4: Сборка и оптимизация Docker-образов
• Тема 5: Обеспечение безопасности в Docker контейнерах // ДЗ
• Тема 6: Основные компоненты Kubernetes // ДЗ
• Тема 7: Kubernetes. Практика
• Тема 8: Обеспечение безопасности в Kubernetes // ДЗ
• Тема 9: Обеспечение безопасности ОС Windows

Интеграция и работа с инструментами ИБ в рамках DevSecOps

• Тема 1: Обеспечение безопасности CI/CD тулчейна и DevOps процесса // ДЗ
• Тема 2: Обзор DevSecOps инструментария // ДЗ
• Тема 3: Анализ исходного кода на безопасность (SAST/ DAST/IAST) // ДЗ
• Тема 4: Применение защиты для REST-API внутри микро-сервисных приложений и на back-end // ДЗ
• Тема 5: Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection // ДЗ
• Тема 6: Q&A. Сессия вопросов и ответов
• Тема 7: Современные средства периметральной безопасности сети (NGFW/Sandbox) // ДЗ
• Тема 8: Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)
• Тема 9: Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR)
• Тема 10: Моделирование угроз и тестирование на проникновение // ДЗ
• Тема 11: Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
• Тема 12: План проекта и методика трансформации организации в DevSecOps
• Тема 13: Soft skills

Проектный модуль

• Тема 1: Выбор темы и организация проектной работы // Проект
• Тема 2: Консультации и обсуждения проектной работы
• Тема 3: Защита проектов

Программа обучения и сертификации Practical DevSecOps предлагает передовую и всеобъемлющую подготовку, направленную на оснащение специалистов в области безопасности и разработчиков последними навыками и знаниями в области DevSecOps. Особенностью программы является её практический, прикладной характер обучения, который реализуется через более чем 640 лабораторных работ и более 110 000 часов доступа к лабораториям. Программа имеет глобальное присутствие, сертифицировав более 5 000 профессионалов из 86 стран, что подчеркивает ее эффективность и охват.

Участники курса обучаются у экспертов отрасли и получают возможность освоить реальные навыки в современных онлайн-лабораториях, что включает в себя полное административное доступ к собственной среде для практики и обеспечения безопасности всех компонентов в пайплайне. Курс обещает не только теоретические знания, но и практический опыт реализации концепций DevSecOps, подчеркивая значимость реального применения знаний.

Программа также поддерживает открытые проекты и разрабатывает различные инструменты и техники для специалистов по безопасности, включая создание OWASP DevSecOps Studio, DevSecOps Integra и многих других проектов. Это подчеркивает стремление Practical DevSecOps не только обучать, но и вносить вклад в сообщество, делая инструменты и технологии доступными для широкой аудитории.

Инструкторы программы обладают значительным опытом преподавания, проведя более 1000 часов обучения в различных организациях и на международных конференциях, что гарантирует высокое качество и актуальность предлагаемого образования. С курсами, ориентированными на практику и содержащими более 100 направляющих практических упражнений в современных онлайн-лабораториях, учащиеся могут немедленно применять полученные знания в своих организациях, продвигая революцию в области DevSecOps.

• Практический и прикладной курс от экспертов индустрии.
• Более 640 лабораторий и 110 000 часов доступа к лабораториям.
• Более 5 000 сертифицированных специалистов из 86+ стран.

• Особенности курса:

  • Реальные навыки в современных онлайн-лабораториях.
  • Полный административный доступ к индивидуальной среде обучения.
  • Практический опыт реализации концепций DevSecOps.

• Поддержка открытых проектов:

  • Создание и поддержка OWASP DevSecOps Studio, DevSecOps Integra и других.
  • Делиться инструментами и техниками с сообществом.

• Преподавательский состав:

  • Более 1000 часов опыта преподавания на различных платформах и конференциях.

• Структура курсов:

  • Практические курсы с 100+ направляющими упражнениями.
  • Применение полученных знаний на практике в своих организациях.

Курс "DevSecOps: Master Securing CI/CD | DevOps Pipeline" предлагает уникальную возможность освоить методологию, инструменты и технологии DevSecOps, которые позволяют эффективно интегрировать меры безопасности в процесс разработки и доставки программного обеспечения. Обучение рассчитано на широкий круг специалистов, включая разработчиков, специалистов по безопасности, инженеров по тестированию и поддержке, а также всех заинтересованных в повышении уровня безопасности разрабатываемых продуктов.

Программа курса включает 8 часов видеоматериалов, задания для самостоятельной работы, 53 ресурса для скачивания, что обеспечивает глубокое понимание темы. Участники получат знания о лучших практиках DevSecOps, основах DevOps и DevSecOps, интеграции инструментов безопасности, автоматизации тестирования безопасности, управлении уязвимостями и многом другом. Курс подробно знакомит со всеми аспектами безопасной разработки и доставки ПО, от интеграции безопасности в начальные этапы разработки до автоматизации проверок безопасности на всех этапах CI/CD.

Преподаватель курса, Амрит Чоудхари, обладает значительным опытом в области DevOps и DevSecOps и делится практическими советами, основанными на реальных проектах. Курс подчеркивает важность интеграции безопасности в процесс разработки с самого начала, что способствует созданию более безопасных приложений и ускорению процесса их доставки.

Учащимся предлагается не только теоретическая база, но и практические навыки, которые можно будет применять в своих проектах. Пройдя курс, специалисты получат комплексное представление о том, как эффективно внедрять принципы безопасности в DevOps-процессы, что является критически важным в условиях современной быстро меняющейся среды разработки ПО.

Важным преимуществом курса является использование свободно доступных и современных инструментов, что делает его доступным для широкого круга специалистов, желающих улучшить свои навыки в области безопасной разработки и доставки программного обеспечения.

Преподаватель: Амрит Чоудхари, эксперт в области DevOps и DevSecOps

Формат обучения:

• 8 часов видео по запросу
• Практические задания
• 53 ресурса для скачивания
• Доступ через мобильные устройства и телевизор
• Полный пожизненный доступ
• Сертификат об окончании

Чему вы научитесь:

• Лучшие практики DevSecOps и SecOps для построения безопасного пайплайна
• Основы DevOps и DevSecOps
• Интеграция инструментов безопасности
• Автоматизация тестирования безопасности
• Управление угрозами и уязвимостями
• Безопасность контейнеров и приложений
• Автоматизация и оптимизация процессов CI/CD

Для кого этот курс:

• Специалисты по DevOps и DevSecOps
• Инженеры по тестированию и поддержке
• Разработчики и инженеры безопасности
• Все, кто заинтересован в повышении уровня безопасности разработки и доставки ПО

Материалы курса:

• Введение в курс
  • Обзор курса и ключевые концепции
• Основы DevSecOps и DevOps
  • Требования: Инструменты и терминология
  • Введение в раздел
• Настройка виртуальной среды
  • Установка VirtualBox для хостинга виртуальных машин
  • Настройка VM на Windows и Mac OS
  • Подключение к VM с хост-машины (Windows и Mac)
• Начальная настройка программного обеспечения
  • Установка необходимого ПО на VM
  • Настройка всех аккаунтов CI/CD
• Установка и настройка Jenkins
  • Инсталляция Jenkins и его настройка
  • Запуск многопользовательского приложения "Змейка" с сервера приложений
• Настройка Jenkins Pipeline
  • Хранение учетных данных Dockerhub
  • Установка плагинов и настройка задачи Pipeline
• Безопасность приложений и кода
  • OWASP TOP 10 и SANS TOP 25
  • Анализ уязвимостей кода с помощью Fortify SAST
• Статический и динамический анализ безопасности (SAST и DAST)
  • Настройка и интеграция SCA SYNK с Jenkins
  • Установка и настройка SonarQube с помощью docker-compose
  • Динамический анализ с OWASP ZAP и Arachni
• Безопасность контейнеров
  • Aqua Microscanner для обеспечения безопасности контейнеров
• Построение DevSecOps Pipeline
  • Интеграция мер безопасности в DevOps Pipeline
  • Финальные советы и рекомендации
• Настройка уведомлений
  • Настройка уведомлений по электронной почте и в Slack
• Docker Content Trust
  • Введение и практическое применение
• Рекомендации по безопасности для Jenkins
• Тесты и задания
  • DevSecOps Quiz
  • Ссылки на другие курсы
  • Задание: Изучение CI/CD с нуля и модель Serverless