Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.
Для кого этот курс
Разработка инфраструктуры и стека приложений в непрерывном потоке изменений Agile DevOps требует непрерывной работы с инструментами ИБ. Традиционная модель безопасности с фокусом на защиту периметра больше не работает. В DevOps ответственность за обеспечение безопасности ложится на всех участников Dev[Sec]Ops процесса.
Курс предназначен для специалистов следующих профилей:
- Разработчиков- DevOps инженеров и Администраторов- Тестировщиков- Архитекторов- Специалистов по информационной безопасности- Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.
Цель Курса
Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.
В рамках курса будут рассмотрены особенности защиты следующих видов приложений:
- Традиционные монолитные 2/3-Tier приложения- Kubernetes приложения - в собственном ДЦ, Public Cloud (EKS, AKS, GKE)- Мобильные iOS и Android приложения- Приложения c REST API back-end
Будут рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ.
В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов. Знания и навыки которые вы приобретете
- Переход от модели безопасности “защита периметра” к модели “защита всех слоев”- Словарь, термины и объекты используемые в инструментах ИБ - CWE, CVE, Exploit и др.- Основные стандарты, методики, источники информации - OWASP, NIST, PCI DSS, CIS и др.
А также научатся интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий:
- Анализ возможных атак (Threat Modelling)- Статический анализ исходного кода на безопасность (SAST)- Динамический анализ приложений на безопасность (IAST/DAST)- Анализ использования стороннего и открытого программного обеспечения (SCA)- Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, итп)- Усиление конфигурации и патчинг (Configuration Hardening, Patching)- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end - Применение Web-Application Firewall (WAF)- Межсетевые экраны нового поколения (NGFW)- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)- Мониторинг безопасности и реакция на события в ИБ (SIEM)- Криминалистическая экспертиза (Forensic Analysis)
Кроме того, тим-лидеры получат рекомендации о практике успешного внедрения DevSecOps:
- Как подготовить и успешно провести мини-тендер и PoC по выбору инструментов - Как изменить роли, структуру и зоны ответственности команд разработки, поддержки, ИБ- Как адаптировать бизнес-процессы продакт менеджмента, разработки, обслуживания, ИБ
Добрый день уважаемы Otus!
Спасибо большое за курс, за подачу, за очень обширную базу, информацию по курсу, которe. вы предоставили, за профессиональных преподавателей!
Позвольте попросить Вас рассмотреть, подобные курсы, но уже с более глубоким погружением, например в SAST/DAST/IAST; WAF; SIEM; именно инструментов opensource!
Выражаю благодарность Сергею за организацию такого курса. Тема не развита в у нас в стране, и он один из первопроходцев в сфере обучения в этой специфики, это огромная работа. Также хочу отметить Филиппа Игнатенко, как профессионала своего дела и компетентного специалиста, который знает о чем говорит. Платил за курс из своего кармана и не жалею. Конечно курс сыроват, но надо понимать, что это первые шаги в истории обучения DevSecOps в РФ. Зачем делать занятие по SQLI и кидать в ДЗ чит лист по инъекциям - типо делай сам, я не понимаю такой подход. Однако я понимаю реалии и не вчера родился. Сам хотел помочь бы Вам в развитие, так как сам с командой веду сайт itsecforu.ru полностью на некоммерческой основе для развития ИБ у нас в стране. Я всегда на связи и могу помочь и посодействовать Вам в чем смогу, друзья! Респект
06.11.2021
До обучения работал системным администратором в государственной организации. Параллельно проходил курсы по этичному хаккингу в учебном центре "Специалист", а также регулярно решал задачки на платформах Hack The Box и TryHackMe
Меня заинтересовало направление безопасной разработки. С процессом тестирования приложений на уязвимости я уже был знаком, а вот о том, как обеспечивается безопасность в процессе разработки приложений, представления не имел.
В процессе обучения понравилась открытость преподавателей, их готовность в ведению дискуссии, высокий уровень профессионализма преподавательского коллектива. Также в положительную сторону я бы отметил актуальность большей части материала и доступность его изложения. Гибкий сроки сдачи отчётностей и возможность получить доступ к материалам в любой момент времени позволили более качественно планировать свое время. Очень хотелось бы, чтобы появилось продолжение курса с материалом более высокого уровня - с удовольствием записался бы на занятия
Самое основное, что я приобрёл по итогам обучения- это базовые знания и навыки в этой области, знакомых со схожими интересами и дальнейшее направление развития.
04.03.2022
На курсе "Внедрение и работа в DevSecOps" меня заинтересовала программа обучения. Ранее мне не приходилось работать с инструментами и процессами ИБ для проверки приложений.
Поэтому уже с первых дней занятий стало понятно, что есть что изучать. Создатель курса и весь преподавательский состав помогли разобраться с программой и выполнить итоговый проект.
В итоге я научился работать с новыми инструментами для анализа уязвимостей web-приложений, тестированием образов, открыл для себя новую терминологию
Курс был мне полезен. Сейчас я применяю практики DevSecOps в компании улучшая уже существующие процессы CI/CD.
03.05.2022
Отличный курс, опытные преподаватели-практики и хорошо подобранная программа. Получил огромное удовольствие от курса и увлекательных упражнений. Спасибо всем причастным!
02.07.2022
Отличные курсы
Прошел два курса по DevOps. Затраченные деньги отбил примерно за 3 месяца в виде повышения ЗП. Сменил работу, переехал в МСК.Дальше планирую курсы по линух.Ссылки на сертификаты:[вырезано модератором]Фото прилагаю.Видел тут негативные отзывы, что кому-то что-то не понятно. У меня был не плохой бекграунд в самообразовании. Так вот мои знания структуризировались в некоторых вопросах, открылись глаза в других вопросах: типа "а что, так можно было?". Ну и самим думать тоже надо. Как и работу - за вас никто делать не будет, так и учиться надо самим.Преподаватели на курсах по DevOps - просто огонь, и видно, что им самим в кайф делиться своими заниями.
Плюсы: Отличные преподаватели на тех курсах, что я прошел, за остальных не скажу (видел тут негативные отзывы)
Минусы: ничего такого, на что бы я был зол :-) Но иногда домашки долго проверялись, но и я их (домашки) сдавал с задержкой.
Источник: otzovik.com
neuronmaster
29.11.2023
10
Отзыв о курсе Linux Professional
Курс Linux Professional на учебном портале Otus оказался идеальным выбором для меня. Я был увлечён глубоким погружением в архитектуру ОС Linux, а также приобретени ем навыков по установке, обновлению и восстановлению ОС, управлению загрузкой, созданию RAID массивов и работе с логическими томами.Особенно ценными для меня стали практические навыки в администрировании, веб-серверов, файловых хранилищ, файрваллов, логирования, мониторинга и систем резервного копирования. Работа с сетью от хоста до маршрутизатора и брандмауэра оказалась очень полезной.Хорошо были даны материалы по IaC, с большим количеством реальных практических кейсов...В конце обучения я собрал хорошее портфолио выполненных работ итогового проекта, которое смог применить как уже готовые наработки в реальных задачах. Курс определенно стоит своих денег и выделенного на него времени
Денис Ивохин
