Внедряване и работа в DevSecOps - курс 88 000 rub. от Otus, обучение 5 месеца, дата 30 октомври 2023 г.
разни / / November 30, 2023
Днес постоянно се сблъскваме с хакерски атаки, имейл измами и изтичане на данни. Онлайн работата се превърна в бизнес изискване и нова реалност. Разработването и поддържането на код и защитата на инфраструктурата с мисъл за сигурността се превръща в първостепенно изискване за ИТ специалистите. Именно тези специалисти са най-високо платените и търсени сред големите работодатели: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank и др.
За кого е този курс?
Разработването на стекове от инфраструктура и приложения в непрекъснатия поток от промени в Agile DevOps изисква непрекъсната работа с инструменти за информационна сигурност. Традиционният модел за сигурност, фокусиран върху периметъра, вече не работи. В DevOps отговорността за сигурността пада върху всички участници в процеса Dev[Sec]Ops.
Курсът е предназначен за специалисти в следните профили:
- Разработчици
- DevOps инженери и администратори
- Тестери
- Архитекти
- Специалисти по информационна сигурност
- Специалисти, които искат да се научат как да разработват и поддържат приложения и инфраструктура с висока степен на защита от външни и вътрешни атаки в автоматизиран процес DevSecOps.
Цел на курса
Успешното внедряване на DevSecOps е възможно само с интегриран подход към инструменти, бизнес процеси и хора (роли на участници). Курсът предоставя познания и за трите елемента и първоначално е разработен в подкрепа на CI/CD инструменталната верига и проекта за трансформация на работника Процес на DevOps до пълна практика на DevSecOps с помощта на най-новите автоматизирани инструменти за сигурност.
Курсът ще обхване функциите за сигурност на следните типове приложения:
- Традиционни монолитни 2/3-степенни приложения
- Kubernetes приложения - във вашия собствен DC, публичен облак (EKS, AKS, GKE)
- Мобилни iOS и Android приложения
- Приложения с REST API back-end
Ще бъдат разгледани интеграцията и използването на най-популярните инструменти за защита на информацията с отворен код и комерсиална информация.
Курсът набляга на практиките Scrum/Kanban, но подходите и инструментите могат да се използват и в традиционния модел за управление на проекти Waterfall.
Знания и умения, които ще придобиете
- Преход от модела на сигурност „периметърна защита” към модела „защита на всички слоеве”.
- Речник, термини и обекти, използвани в средствата за информационна сигурност - CWE, CVE, Exploit и др.
- Основни стандарти, методи, източници на информация - OWASP, NIST, PCI DSS, CIS и др.
Те също така ще научат как да се интегрират в CI/CD и да използват инструменти за информационна сигурност от следните категории:
- Анализ на възможни атаки (моделиране на заплахи)
- Статичен анализ на изходния код за сигурност (SAST)
- Динамичен анализ на сигурността на приложението (IAST/DAST)
- Анализ на използването на софтуер на трети страни и софтуер с отворен код (SCA)
- Тестване на конфигурацията за съответствие със стандартите за сигурност (CIS, NIST и др.)
- Заздравяване на конфигурацията, корекция
- Приложение за управление на тайни и сертификати
- Прилагане на защита за REST-API в приложенията за микросервизи и в задната част
- Приложение на защитна стена за уеб приложения (WAF)
- Защитни стени от следващо поколение (NGFW)
- Ръчно и автоматизирано тестване за проникване (Penetration Test)
- Мониторинг на сигурността и реакция на събития в информационната сигурност (SIEM)
- Съдебномедицински анализ
Освен това ръководителите на екипи ще получат препоръки за практики за успешно внедряване на DevSecOps:
- Как да подготвим и проведем успешно мини търг и PoC за избор на инструменти
- Как да промените ролите, структурата и областите на отговорност на екипите за развитие, поддръжка, информационна сигурност
- Как да се адаптират бизнес процесите на продуктово управление, разработка, поддръжка, информационна сигурност
2
курсНад 12 години работа в ИТ успях да работя като разработчик, тестер, devops и devsecops инженер в компании като NSPK (разработчик на картата MIR), Kaspersky Lab, Sibur и Rostelecom. В момента аз...
Над 12 години работа в ИТ успях да работя като разработчик, тестер, devops и devsecops инженер в компании като NSPK (разработчик на картата MIR), Kaspersky Lab, Sibur и Rostelecom. В момента съм ръководител на отдела за сигурна разработка в Digital Energy (група компании на Ростелеком).Практическият ми опит се основава на познаване на езиците C#, F#, dotnet core, python, разработване и интегриране на различни практически инструменти DevOps и DevSecOps (SAST/SCA, DAST/IAST, сканиране на уеб приложения, анализ на инфраструктурата, мобилно сканиране приложения). Имам богат опит в внедряването и поддръжката на k8s клъстери и работя с облачни доставчици. Провеждам одити на сигурността и внедрявам сервизни мрежи. Автор съм на мои собствени курсове по програмиране, тестване, релационни и нерелационни бази данни, работа с облачни доставчици и администриране на голи сървъри. Лектор на международни конференции.
1
добреАнализатор по информационна сигурност, Sovcombank
Опит в информационната сигурност от 2018 г. Специализация: - Контрол на сигурността на инфраструктурата - Изграждане на процеси за управление на уязвимости за различни платформи (микроуслуги и DevOps, Host OS, мрежово оборудване OS, Mobile, DB, виртуализация) - Управление на политики и изисквания за информационна сигурност в рамките на инфраструктура и проекти развитие. Учител
1
добреЗанимава се с одит на търговски мрежи от 2017 г. Участва в разработването на модел за сигурност за междудържавната банка на Украйна "AT Oschadbank" Основната характеристика на тестването е пентест по метода на "черната кутия". Работи с python и bush от 2016 г...
Занимава се с одит на търговски мрежи от 2017 г. Участва в разработването на модел за сигурност за междудържавната банка на Украйна "AT Oschadbank" Основната характеристика на тестването е pentest с помощта на метода на "черната кутия" Работа с python и bush от 2016 г. Опит в работата с unix системи, по-специално дистрибуции, базирани на Debian. Учител
База знания по информационна сигурност
-Тема 1. Речник, термини, стандарти, методи, източници на информация, използвани в средствата за информационна сигурност
-Тема 2. Основни принципи за осигуряване на информационна сигурност на приложния стек и инфраструктура
Общ преглед на уязвимостта на OWASP
-Тема 3. Анализ на топ 10 уеб уязвимости на OWASP
-Тема 4. Анализ на OWASP Топ 10 уязвимости - REST API
Характеристики на разработване на защитен код и използване на рамки
-Тема 5. Сигурна разработка в HTML/CSS и PHP
-Тема 6. Сигурна разработка и уязвимости в софтуерния код
-Тема 7. Сигурна разработка в Java/Node.js
-Тема 8. Сигурна разработка в .NET
-Тема 9. Сигурна разработка в Ruby
Разработка на сигурни контейнерни и безсървърни приложения
-Тема 10. Осигуряване на сигурност в Linux OS
-Тема 11. Осигуряване на сигурност в Docker контейнери
-Тема 12. Защита на Kubernetes
Интеграция и работа с инструменти за информационна сигурност в DevSecOps
-Тема 13. Гарантиране на сигурността на CI/CD toolchain и DevOps процеса
-Тема 14. Преглед на инструментите DevSecOps
-Тема 15. Анализ на сигурността на изходния код (SAST/DAST/IAST)
-Тема 16. Използване на защита за REST-API в приложенията за микросервизи и в задната част.
-Тема 17. Използване на защитна стена на уеб приложения (WAF) за уеб защита, REST API, защита от ботове.
-Тема 18. Модерни инструменти за защита на периметъра на мрежата (NGFW/Sandbox)
-Тема 19. Моделиране на заплахи и тестване за проникване
-Тема 20. Мониторинг на сигурността и реакция на събития в информационната сигурност (SIEM/SOAR)
-Тема 21. Проектен план и методология за трансформиране на организация в DevSecOps.
Проектен модул
-Тема 22. Избор на тема
-Тема 23. Консултации и обсъждане на работата по проекта
-Тема 24. Защита на проекти