О чём курс

В ходе курса вы познакомитесь с различными инструментами безопасной разработки, подходящими под требования вашей компании. Будет проведён обзор этих инструментов с анализом их преимуществ и недостатков.

Дополнительно представим модель DevSecOps-конвейера, иллюстрируя, как эти инструменты применяются на разных этапах разработки и какие этапы включает конвейер.

Вы также изучите процесс внедрения инструментов, включая определение целей и метрики для мониторинга их эффективности.

Кроме того, рассмотрим будущее DevSecOps, включая актуальные рыночные тенденции и новые стандарты безопасности, такие как обновлённый ГОСТ Р56939 2024 года.

Практические задания курса заключаются в выполнении сквозного проекта, который участники будут поэтапно дорабатывать после изучения каждой темы. Это позволит наглядно продемонстрировать взаимосвязь различных задач в контексте DevSecOps.

Цели

  • Освоить различные инструменты DevSecOps и их применение в процессах разработки для обеспечения безопасности приложений.
  • Понять и применить схему DevSecOps конвейера, чтобы интегрировать безопасность на всех этапах разработки и достичь непрерывной поставки безопасного ПО.
  • Освоить процесс внедрения инструментов DevSecOps, включая определение целей, выбор метрик отслеживания и оценку эффективности внедрения.
  • Изучить будущие тенденции в области DevSecOps, включая новые стандарты и требования безопасности, чтобы быть в курсе последних изменений и лучших практик.
  • Овладеть инструментами для тестирования уязвимостей и научиться применять его в процессе разработки для обеспечения высокого уровня безопасности приложений.

    • Целевая аудитория

  • Разработчики с опытом от года
  • Специалисты по безопасности
  • Специалисты DevOps, администраторы, тестировщики желающие изучить вопросы безопасности
  • DevOps инженеры
  • Специалисты по информационной безопасности
  • Разработчики ПО
    • Системные администраторы

    Предварительная подготовка

    Основное требование: базовые знания в области разработки ПО и администрирования инфраструктуры.

    Желательно, но не обязательно: предварительное знакомство с инструментами CI/CD (Jenkins, Git) и контейнеризацией (Docker, Kubernetes).

    Для кого

    Разработчик Разработчик
    Системный администратор Системный администратор
    Тестировщик Тестировщик

    Улучшаемые навыки

    Понимание принципов DevSecOps
    Инструменты для автоматизации безопасности
    Интеграция тестирования безопасности в CI/CD
    Управление конфигурацией и безопасностью инфраструктуры
    Мониторинг и реагирование на инциденты безопасности

    Темы курса

    01 Введение. Культура DevSecOps: DevOps+безопасность. [Теория 1 ч.]

    02 Безопасность инфраструктуры.
  • Безопасная настройка ОС Linux. Настройка привилегированных учетных записей. Поднятие привилегий.
  • Практика: Развертывание контейнера с Ubuntu. Сканирование на уязвимости ОС Ubuntu. Настройка учетных записей с заданным набором прав доступа.

    • [Теория 1 ч.; Практика 1 ч.]

  • Безопасная настройка сети. Защита на периметре и внутри сети. Средства межсетевого экранирования, IDS, NGFW, WAF, PAM.
  • Практика: настройка iptables по заданному набору правил. Настройка WAF из контейнера.

    • [Теория 1 ч.; Практика 2 ч.]

  • Безопасная работа с Docker. Настройки среды контейнеризации. Создание образов. Оптимизация инструкций. Настройка аккаунта для работы в контейнере. Использование линтеров. Сканирование на уязвимости. Сетевое взаимодействие между контейнерами.
  • Практика: создание образа с помощью Dockerfile. Использование безопасных настроек и оптимизация. Сканирование на уязвимости. Настройка безопасного взаимодействия между контейнерами по сети.

    • [Теория 1,5 ч.; Практика 2 ч.]

  • Обеспечение безопасности в Kubernetes. Пространства имен. Ролевая модель управления доступом. Pod Security Admission. Защита etcd. Безопасность транспортного уровня. Сети Istio.
  • Практика: Настройка пространств имен, настройка доступа, создание сервиса средствами Kubernetes и настройка сетевого взаимодействия с помощью сервисных сетей Istio.

    • [Теория 1,5 ч.; Практика 2 ч.]

  • Безопасность веб приложений. Уязвимости OWASP TOP-10.
  • Практика: Сканирование тестового уязвимого приложения на уязвимости. Эксплуатация найденных уязвимостей. Рассмотрение способов закрытия найденных уязвимостей.

    • [Теория 2 ч.; Практика 2 ч.]


    03 Конвейер CI/CD и инструменты DevSecOps
  • Этапы работы конвейера CI/CD. Среды разработки, тестирования, QA, продакшен. Основные инструменты. Git, Jenkins, Kubernetes, Docker, инструменты разработки и тестирования.
  • Практика: Развертывание контейнера с Jenkins. Настройка агентов. Выполнение сборки.

    • [Теория 1 ч.; Практика 1 ч.]

  • Безопасность на этапе разработки и сборки. SSDLC, SAST, SCA, DAST анализ. Встраиваем в конвейер CI/CD.
  • Практика: Использование анализаторов исходного кода для различных языков программирования. Создание соответствующей задачи в конвейере Jenkins.

    • [Теория 1 ч.; Практика 2 ч.]

  • Безопасность на этапе тестирования. Виды тестов, фаззинг, тестирование на проникновение. Знакомство с Kali Linux. Сканирование приложения на уязвимости.
  • Практика: Установка сканера уязвимостей, пентест тестового контейнера с уязвимостями. Эксплуатация уязвимостей.

    • [Теория 1 ч.; Практика 2 ч.]

  • Безопасность на этапе выпуска. Безопасное хранение артефактов, Обеспечение надежности при непрерывной доставке и развертывании.
  • Практика: Создание собственного репозитория образов. Добавляем в конвейер задачу по сборке и обновлению артефакта без остановки работы приложения.

    • [Теория 1 ч.; Практика 2 ч.]

  • Мониторинг безопасности работы приложения. Решения класса SIEM, EDR. Архитектура и основные принципы работы.
  • Практика: развертывание SIEM Wazuh. Настройки аудита и подключение источника событий к SIEM.

    • [Теория 1 ч.; Практика 2 ч.]

    04 Будущее DevSecOps
  • Перспективы развития DevSecOps.
  • Тенденции на рынке ГОСТ Р56939 в новой редакции 2024

    • [Теория 1 ч.]


    05 Итого на курс 32 часов: теория – 14 ч (44%), практика – 18 ч (56%)

    48 900 ₽

    44 010 ₽ — для физ. лиц

    Записаться на курс

    Чему вы научитесь

    01 Научитесь основным концепциям DevSecOps, включая интеграцию безопасности на всех этапах разработки
    02 Освоите использование различных инструментов для автоматизации процессов безопасности
    03 Научитесь интегрировать тестирование безопасности в процессы непрерывной интеграции и доставки (CI/CD)
    04 Освоите методы управления конфигурацией и безопасностью инфраструктуры с использованием инструментов
    05 Научитесь использовать инструменты мониторинга и управления инцидентами

    48 900 ₽

    44 010 ₽ — для физ. лиц

    Записаться на курс

    Записаться на курс

    48 900 ₽

    44 010 ₽ — для физ. лиц

    Юр. лицо — 48 900 ₽
    Физ. лицо — 44 010 ₽
    Открытая дата
    Ознакомлен с политикой обработки персональных данных
    Cоглашаюсь с условиями обработки персональных данных

    Связанные курсы

    DEV-017
    18 часов

    Основы DevOps

    Вводный курс в DevOps, в котором объясняются и показываются на практике принципы, лучшие практики и популярные инструменты. Вы узнаете, что такое Continuous Integration, Continuous Delivery и Continuous Deployment, Infrastructure as Code, Configuration Management и что происходит в облаках.

    от Junior

    25 300 ₽
    DEV-032
    9 часов

    DevOps и CI/CD для разработчиков

    Тренинг является прекрасным практическим введением в методологию автоматизации технологических процессов сборки, настройки и развёртывания программного обеспечения – DevOps. Вы подробно изучите, что такое Continuous Integration, Continuous Delivery и Continuous Deployment.

    от Middle

    12 500 ₽
    SECR-010
    24 часа

    Основные уязвимости в безопасности веб-приложений

    Курс знакомит слушателей с наиболее популярными современными уязвимостями веб-приложений из списка OWASP Top-10 2021, способами их идентификации статически и динамически, а также надежными методами устранения уязвимостей. Вся изучаемая теория подкрепляется большим количеством практических заданий.

    от Middle

    39 900 ₽

    Наши ученики работают в:

    Наши клиенты

    Mail.ru
    Альфа-Банк, банковская группа
    Лаборатория Касперского
    Магнит, розничная сеть
    Спортмастер, сеть спортивных магазинов
    ПСБ
    Сбертех
    Дзен
    IT One
    Ростелеком
    Мегафон
    Nexign
    Ozon
    Декатлон
    X5 Group
    Технониколь
    Росатом
    Газпром
    Нлмк
    ВСК
    Синимекс

    Не нашли, что искали? — Просто напишите, и мы поможем

    Ознакомлен с политикой обработки персональных данных
    Cоглашаюсь с условиями обработки персональных данных
    Главная
    Все курсы
    Расписание
    Еще
    Корпоративное обучение Оценка персонала Сертификация О нас Стань тренером Блог
    Пользователь только что записался на курс ""

    Файлы куки — это как ваши любимые библиотеки и фреймворки: они помогают нам обеспечить лучший опыт для вас. Подтвердите согласие с политикой конфиденциальности, нажав «Принимаю условия», чтобы продолжить.

    Развернуть

    Спасибо!
    Форма отправлена успешно.