Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.
Для кого этот курс
Разработка инфраструктуры и стека приложений в непрерывном потоке изменений Agile DevOps требует непрерывной работы с инструментами ИБ. Традиционная модель безопасности с фокусом на защиту периметра больше не работает. В DevOps ответственность за обеспечение безопасности ложится на всех участников Dev[Sec]Ops процесса.
Курс предназначен для специалистов следующих профилей:
- Разработчиков- DevOps инженеров и Администраторов- Тестировщиков- Архитекторов- Специалистов по информационной безопасности- Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.
Цель Курса
Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.
В рамках курса будут рассмотрены особенности защиты следующих видов приложений:
- Традиционные монолитные 2/3-Tier приложения- Kubernetes приложения - в собственном ДЦ, Public Cloud (EKS, AKS, GKE)- Мобильные iOS и Android приложения- Приложения c REST API back-end
Будут рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ.
В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов. Знания и навыки которые вы приобретете
- Переход от модели безопасности “защита периметра” к модели “защита всех слоев”- Словарь, термины и объекты используемые в инструментах ИБ - CWE, CVE, Exploit и др.- Основные стандарты, методики, источники информации - OWASP, NIST, PCI DSS, CIS и др.
А также научатся интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий:
- Анализ возможных атак (Threat Modelling)- Статический анализ исходного кода на безопасность (SAST)- Динамический анализ приложений на безопасность (IAST/DAST)- Анализ использования стороннего и открытого программного обеспечения (SCA)- Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, итп)- Усиление конфигурации и патчинг (Configuration Hardening, Patching)- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end - Применение Web-Application Firewall (WAF)- Межсетевые экраны нового поколения (NGFW)- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)- Мониторинг безопасности и реакция на события в ИБ (SIEM)- Криминалистическая экспертиза (Forensic Analysis)
Кроме того, тим-лидеры получат рекомендации о практике успешного внедрения DevSecOps:
- Как подготовить и успешно провести мини-тендер и PoC по выбору инструментов - Как изменить роли, структуру и зоны ответственности команд разработки, поддержки, ИБ- Как адаптировать бизнес-процессы продакт менеджмента, разработки, обслуживания, ИБ
Добрый день уважаемы Otus!
Спасибо большое за курс, за подачу, за очень обширную базу, информацию по курсу, которe. вы предоставили, за профессиональных преподавателей!
Позвольте попросить Вас рассмотреть, подобные курсы, но уже с более глубоким погружением, например в SAST/DAST/IAST; WAF; SIEM; именно инструментов opensource!
Выражаю благодарность Сергею за организацию такого курса. Тема не развита в у нас в стране, и он один из первопроходцев в сфере обучения в этой специфики, это огромная работа. Также хочу отметить Филиппа Игнатенко, как профессионала своего дела и компетентного специалиста, который знает о чем говорит. Платил за курс из своего кармана и не жалею. Конечно курс сыроват, но надо понимать, что это первые шаги в истории обучения DevSecOps в РФ. Зачем делать занятие по SQLI и кидать в ДЗ чит лист по инъекциям - типо делай сам, я не понимаю такой подход. Однако я понимаю реалии и не вчера родился. Сам хотел помочь бы Вам в развитие, так как сам с командой веду сайт itsecforu.ru полностью на некоммерческой основе для развития ИБ у нас в стране. Я всегда на связи и могу помочь и посодействовать Вам в чем смогу, друзья! Респект
06.11.2021
До обучения работал системным администратором в государственной организации. Параллельно проходил курсы по этичному хаккингу в учебном центре "Специалист", а также регулярно решал задачки на платформах Hack The Box и TryHackMe
Меня заинтересовало направление безопасной разработки. С процессом тестирования приложений на уязвимости я уже был знаком, а вот о том, как обеспечивается безопасность в процессе разработки приложений, представления не имел.
В процессе обучения понравилась открытость преподавателей, их готовность в ведению дискуссии, высокий уровень профессионализма преподавательского коллектива. Также в положительную сторону я бы отметил актуальность большей части материала и доступность его изложения. Гибкий сроки сдачи отчётностей и возможность получить доступ к материалам в любой момент времени позволили более качественно планировать свое время. Очень хотелось бы, чтобы появилось продолжение курса с материалом более высокого уровня - с удовольствием записался бы на занятия
Самое основное, что я приобрёл по итогам обучения- это базовые знания и навыки в этой области, знакомых со схожими интересами и дальнейшее направление развития.
04.03.2022
На курсе "Внедрение и работа в DevSecOps" меня заинтересовала программа обучения. Ранее мне не приходилось работать с инструментами и процессами ИБ для проверки приложений.
Поэтому уже с первых дней занятий стало понятно, что есть что изучать. Создатель курса и весь преподавательский состав помогли разобраться с программой и выполнить итоговый проект.
В итоге я научился работать с новыми инструментами для анализа уязвимостей web-приложений, тестированием образов, открыл для себя новую терминологию
Курс был мне полезен. Сейчас я применяю практики DevSecOps в компании улучшая уже существующие процессы CI/CD.
03.05.2022
Отличный курс, опытные преподаватели-практики и хорошо подобранная программа. Получил огромное удовольствие от курса и увлекательных упражнений. Спасибо всем причастным!
02.07.2022
Полезный курс.
Уже больше 10 лет я занимаюсь разработкой ПО. Получаю реальное удовольствие от кодирования, мозговых штурмов и многочасовых дебагов. Но пару лет назад настал момент, когда захотелось большего, а именно влиять на процесс разработки ПО сверху, тем более, что я на себе испытал недостатки хорошего руководства и прекрасно знаю, что нельзя делать начальником самого "опытного разработчика"(а вот почему, об этом отлично рассказывают на курсе). Должность тимлида я получил во время прохождения курса и это очень помогло на первых парах. На курсе рассказали как выстаивать общение, собирать статистику по подразделению, как должен вести себя тимлид в стрессовых ситуациях и многое другое. Курс прекрасно заходит даже после тяжелого рабочего дня. Все это благодаря опытным преподавателям. Отдельно хочу отметить Александра Пряхина. Лекции данного преподавателя слушать одно удовольствие.Приятно удивило, что руководство курсов прислушивается к обратной связи после каждой лекции. Был случай повторной лекции с заменой преподавателя. Зачастую мы забывали про время во время дебатов, но преподаватели терпеливо отвечали на все вопросы. В целом я очень доволен обучением. Видеозаписи можно пересмотреть в любое удобное время и я этим непременно воспользуюсь.Не важно, являетесь ли вы тимлидом, или только хотите им стать, на курсе вы обязательно узнаете много нового.Удачи!
Плюсы: Много полезной информации, преподаватели, реакция на обратную связь, хорошо заходит даже после тяжелого рабочего дня, можно пересматривать лекции в любой момент.
Минусы: Несколько затянут, часть лекций можно исключить.
Денис Ивохин
