Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.
Для кого этот курс
Разработка инфраструктуры и стека приложений в непрерывном потоке изменений Agile DevOps требует непрерывной работы с инструментами ИБ. Традиционная модель безопасности с фокусом на защиту периметра больше не работает. В DevOps ответственность за обеспечение безопасности ложится на всех участников Dev[Sec]Ops процесса.
Курс предназначен для специалистов следующих профилей:
- Разработчиков- DevOps инженеров и Администраторов- Тестировщиков- Архитекторов- Специалистов по информационной безопасности- Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.
Цель Курса
Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.
В рамках курса будут рассмотрены особенности защиты следующих видов приложений:
- Традиционные монолитные 2/3-Tier приложения- Kubernetes приложения - в собственном ДЦ, Public Cloud (EKS, AKS, GKE)- Мобильные iOS и Android приложения- Приложения c REST API back-end
Будут рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ.
В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов. Знания и навыки которые вы приобретете
- Переход от модели безопасности “защита периметра” к модели “защита всех слоев”- Словарь, термины и объекты используемые в инструментах ИБ - CWE, CVE, Exploit и др.- Основные стандарты, методики, источники информации - OWASP, NIST, PCI DSS, CIS и др.
А также научатся интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий:
- Анализ возможных атак (Threat Modelling)- Статический анализ исходного кода на безопасность (SAST)- Динамический анализ приложений на безопасность (IAST/DAST)- Анализ использования стороннего и открытого программного обеспечения (SCA)- Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, итп)- Усиление конфигурации и патчинг (Configuration Hardening, Patching)- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end - Применение Web-Application Firewall (WAF)- Межсетевые экраны нового поколения (NGFW)- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)- Мониторинг безопасности и реакция на события в ИБ (SIEM)- Криминалистическая экспертиза (Forensic Analysis)
Кроме того, тим-лидеры получат рекомендации о практике успешного внедрения DevSecOps:
- Как подготовить и успешно провести мини-тендер и PoC по выбору инструментов - Как изменить роли, структуру и зоны ответственности команд разработки, поддержки, ИБ- Как адаптировать бизнес-процессы продакт менеджмента, разработки, обслуживания, ИБ
Добрый день уважаемы Otus!
Спасибо большое за курс, за подачу, за очень обширную базу, информацию по курсу, которe. вы предоставили, за профессиональных преподавателей!
Позвольте попросить Вас рассмотреть, подобные курсы, но уже с более глубоким погружением, например в SAST/DAST/IAST; WAF; SIEM; именно инструментов opensource!
Выражаю благодарность Сергею за организацию такого курса. Тема не развита в у нас в стране, и он один из первопроходцев в сфере обучения в этой специфики, это огромная работа. Также хочу отметить Филиппа Игнатенко, как профессионала своего дела и компетентного специалиста, который знает о чем говорит. Платил за курс из своего кармана и не жалею. Конечно курс сыроват, но надо понимать, что это первые шаги в истории обучения DevSecOps в РФ. Зачем делать занятие по SQLI и кидать в ДЗ чит лист по инъекциям - типо делай сам, я не понимаю такой подход. Однако я понимаю реалии и не вчера родился. Сам хотел помочь бы Вам в развитие, так как сам с командой веду сайт itsecforu.ru полностью на некоммерческой основе для развития ИБ у нас в стране. Я всегда на связи и могу помочь и посодействовать Вам в чем смогу, друзья! Респект
06.11.2021
До обучения работал системным администратором в государственной организации. Параллельно проходил курсы по этичному хаккингу в учебном центре "Специалист", а также регулярно решал задачки на платформах Hack The Box и TryHackMe
Меня заинтересовало направление безопасной разработки. С процессом тестирования приложений на уязвимости я уже был знаком, а вот о том, как обеспечивается безопасность в процессе разработки приложений, представления не имел.
В процессе обучения понравилась открытость преподавателей, их готовность в ведению дискуссии, высокий уровень профессионализма преподавательского коллектива. Также в положительную сторону я бы отметил актуальность большей части материала и доступность его изложения. Гибкий сроки сдачи отчётностей и возможность получить доступ к материалам в любой момент времени позволили более качественно планировать свое время. Очень хотелось бы, чтобы появилось продолжение курса с материалом более высокого уровня - с удовольствием записался бы на занятия
Самое основное, что я приобрёл по итогам обучения- это базовые знания и навыки в этой области, знакомых со схожими интересами и дальнейшее направление развития.
04.03.2022
На курсе "Внедрение и работа в DevSecOps" меня заинтересовала программа обучения. Ранее мне не приходилось работать с инструментами и процессами ИБ для проверки приложений.
Поэтому уже с первых дней занятий стало понятно, что есть что изучать. Создатель курса и весь преподавательский состав помогли разобраться с программой и выполнить итоговый проект.
В итоге я научился работать с новыми инструментами для анализа уязвимостей web-приложений, тестированием образов, открыл для себя новую терминологию
Курс был мне полезен. Сейчас я применяю практики DevSecOps в компании улучшая уже существующие процессы CI/CD.
03.05.2022
Отличный курс, опытные преподаватели-практики и хорошо подобранная программа. Получил огромное удовольствие от курса и увлекательных упражнений. Спасибо всем причастным!
02.07.2022
На Отус наткнулся когда безуспешно пытался отыскать в интернетах курсы по Python не для новичков, а для тех кто уже что-то умеет. Единственным местом, где подобный курс предлагали оказался Отус. Сначала были сомнения, потому что на тот момент я о них ничего не слышал, да и потому что не очень то дешево, но почитал отзывы, прошел вступительный тест и решил попробовать. Сейчас прохожу курс (он почти закончился) и весьма доволен. На вебинарах интересно, домашки делать еще интереснее, да и радует что их не бездушный грейдер, а живой человек проверяет, с нормальными ревью и фидбеком.
Денис Ивохин
