Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.
Для кого этот курс
Разработка инфраструктуры и стека приложений в непрерывном потоке изменений Agile DevOps требует непрерывной работы с инструментами ИБ. Традиционная модель безопасности с фокусом на защиту периметра больше не работает. В DevOps ответственность за обеспечение безопасности ложится на всех участников Dev[Sec]Ops процесса.
Курс предназначен для специалистов следующих профилей:
- Разработчиков- DevOps инженеров и Администраторов- Тестировщиков- Архитекторов- Специалистов по информационной безопасности- Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.
Цель Курса
Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.
В рамках курса будут рассмотрены особенности защиты следующих видов приложений:
- Традиционные монолитные 2/3-Tier приложения- Kubernetes приложения - в собственном ДЦ, Public Cloud (EKS, AKS, GKE)- Мобильные iOS и Android приложения- Приложения c REST API back-end
Будут рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ.
В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов. Знания и навыки которые вы приобретете
- Переход от модели безопасности “защита периметра” к модели “защита всех слоев”- Словарь, термины и объекты используемые в инструментах ИБ - CWE, CVE, Exploit и др.- Основные стандарты, методики, источники информации - OWASP, NIST, PCI DSS, CIS и др.
А также научатся интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий:
- Анализ возможных атак (Threat Modelling)- Статический анализ исходного кода на безопасность (SAST)- Динамический анализ приложений на безопасность (IAST/DAST)- Анализ использования стороннего и открытого программного обеспечения (SCA)- Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, итп)- Усиление конфигурации и патчинг (Configuration Hardening, Patching)- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end - Применение Web-Application Firewall (WAF)- Межсетевые экраны нового поколения (NGFW)- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)- Мониторинг безопасности и реакция на события в ИБ (SIEM)- Криминалистическая экспертиза (Forensic Analysis)
Кроме того, тим-лидеры получат рекомендации о практике успешного внедрения DevSecOps:
- Как подготовить и успешно провести мини-тендер и PoC по выбору инструментов - Как изменить роли, структуру и зоны ответственности команд разработки, поддержки, ИБ- Как адаптировать бизнес-процессы продакт менеджмента, разработки, обслуживания, ИБ
Добрый день уважаемы Otus!
Спасибо большое за курс, за подачу, за очень обширную базу, информацию по курсу, которe. вы предоставили, за профессиональных преподавателей!
Позвольте попросить Вас рассмотреть, подобные курсы, но уже с более глубоким погружением, например в SAST/DAST/IAST; WAF; SIEM; именно инструментов opensource!
Выражаю благодарность Сергею за организацию такого курса. Тема не развита в у нас в стране, и он один из первопроходцев в сфере обучения в этой специфики, это огромная работа. Также хочу отметить Филиппа Игнатенко, как профессионала своего дела и компетентного специалиста, который знает о чем говорит. Платил за курс из своего кармана и не жалею. Конечно курс сыроват, но надо понимать, что это первые шаги в истории обучения DevSecOps в РФ. Зачем делать занятие по SQLI и кидать в ДЗ чит лист по инъекциям - типо делай сам, я не понимаю такой подход. Однако я понимаю реалии и не вчера родился. Сам хотел помочь бы Вам в развитие, так как сам с командой веду сайт itsecforu.ru полностью на некоммерческой основе для развития ИБ у нас в стране. Я всегда на связи и могу помочь и посодействовать Вам в чем смогу, друзья! Респект
06.11.2021
До обучения работал системным администратором в государственной организации. Параллельно проходил курсы по этичному хаккингу в учебном центре "Специалист", а также регулярно решал задачки на платформах Hack The Box и TryHackMe
Меня заинтересовало направление безопасной разработки. С процессом тестирования приложений на уязвимости я уже был знаком, а вот о том, как обеспечивается безопасность в процессе разработки приложений, представления не имел.
В процессе обучения понравилась открытость преподавателей, их готовность в ведению дискуссии, высокий уровень профессионализма преподавательского коллектива. Также в положительную сторону я бы отметил актуальность большей части материала и доступность его изложения. Гибкий сроки сдачи отчётностей и возможность получить доступ к материалам в любой момент времени позволили более качественно планировать свое время. Очень хотелось бы, чтобы появилось продолжение курса с материалом более высокого уровня - с удовольствием записался бы на занятия
Самое основное, что я приобрёл по итогам обучения- это базовые знания и навыки в этой области, знакомых со схожими интересами и дальнейшее направление развития.
04.03.2022
На курсе "Внедрение и работа в DevSecOps" меня заинтересовала программа обучения. Ранее мне не приходилось работать с инструментами и процессами ИБ для проверки приложений.
Поэтому уже с первых дней занятий стало понятно, что есть что изучать. Создатель курса и весь преподавательский состав помогли разобраться с программой и выполнить итоговый проект.
В итоге я научился работать с новыми инструментами для анализа уязвимостей web-приложений, тестированием образов, открыл для себя новую терминологию
Курс был мне полезен. Сейчас я применяю практики DevSecOps в компании улучшая уже существующие процессы CI/CD.
03.05.2022
Отличный курс, опытные преподаватели-практики и хорошо подобранная программа. Получил огромное удовольствие от курса и увлекательных упражнений. Спасибо всем причастным!
02.07.2022
Отлично
Я не учился на курсах ОТУС, НО...Выбираю себе сейчас курсы по разработке на пайтон и про Отус пишут прям много хорошего. Мне самому понравилась программа обучения и то что РАЗ В НЕДЕЛЮ ты ОДИН НА ОДИН занимаешься индивидуально С ИХ ПРЕПОДАВАТЕЛЕМ. Это конечно супер тема. Решил купить и оплатил курс сразу весь (более 100 000). Оплатил. Менеджер Сергей договорился о том, что бы меня включили в группу которая уже 2 недели занимается. Все ок. Дали доступ. Я посмотрел 2 семинара, почитал слак, ознакомился с материалами, спросил у людей про домашки (оказалось что в начале курса пока они просто ставят консоли, настраивают окружение и пр... без дз). То есть обучение идет принципом - посмотрел семинар - повторил у себя в пайшарме допустим и если есть дз делаешь - нет - изучаешь сам и ждешь следующего семинара. Выделю действительно большой плюс - преподаватель прямо со студентами в одном чате и он реально отвечает на вопросы. ...Я полазил по сайту порядка часа - двух и понял, что мне (лично мне) больше нравится яндекс практикум своей платформой и текстовыми заданиями прям в их же веб терминале. К слову не факт, что я остановлюсь на Практикуме, потому что там минусов предостаточно своих....Отписался менеджеру, что данный курс мне мне подходит и я хочу вернуть деньги. Он ответил, что мне надо написать на такой то адрес и, что сам займется этим вопросом. Мне в почте отписалась еще одна менеджер, спросив что не понравилось (вот Отус реально молодцы, что собирают фидбек) и фин отдел, который написал, что ОТ МЕНЯ НИЧЕГО НЕ НАДО И ОНИ САМИ ВСЕ (В ПОЛНОМ РАЗМЕРЕ) ВЕРНУТ НАЗАД. На это типа дайте нам три дня (может 10 - в зависимости от банка). Ок. И в этот же день мне вернули деньги вечером. В ЭТОТ ЖЕ ДЕНЬ! После оплаты курса через примерно 5 часов....Больше спасибо ОТУСу за возможность принять взвешенное решение и посмотреть платформу. Респект и жирный плюс менеджеру Сергею за профессионализм. Он сначала подробно рассказывал мне про программу и обучение, а после занимался возвратом средств. Если это будет читать ОТУС - дайте там что ли премию Сереге. Он в отличии от кучи продажников с гикбрейнса или скилбокса, просто подробно отвечал на мои вопросы, а не впихивал курс любыми методами....Короче ОТУС - по настоящему нормальная фирма, которой можно доверять.Всем мил не будешь, так что пойду искать себе курс дальше.
Плюсы: Обширная программа, преподаватели на связи, можно доверять
Минусы: нет своей платформы где писать код, мне показалось растянуто обучение
Денис Ивохин
