Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Online работа стала требованием бизнеса и новой реальностью. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Безопасность данных стала основной метрикой успешного бизнес – приложения и способом снижения репутационных рисков.

Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.

Для кого этот курс

Разработка инфраструктуры и стека приложений в непрерывном потоке изменений Agile DevOps требует непрерывной работы с инструментами ИБ. Традиционная модель безопасности с фокусом на защиту периметра больше не работает. В DevOps ответственность за обеспечение безопасности ложится на всех участников Dev[Sec]Ops процесса.

Курс предназначен для специалистов следующих профилей:

- Разработчиков
- DevOps инженеров и Администраторов
- Тестировщиков
- Архитекторов
- Специалистов по информационной безопасности
- Специалисты, которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.

Цель Курса

Успешное внедрение DevSecOps возможно только при комплексном подходе к Инструментам, Бизнес-процессам и Людям (Ролям участников). Курс дает знания по всех трем элементам и изначально был разработан для сопровождения проекта трансформации CI/CD тулчейн и рабочего процесса DevOps до полноценной DevSecOps практики с использованием новейших автоматизированных инструментов обеспечения безопасности.

В рамках курса будут рассмотрены особенности защиты следующих видов приложений:

- Традиционные монолитные 2/3-Tier приложения
- Kubernetes приложения - в собственном ДЦ, Public Cloud (EKS, AKS, GKE)
- Мобильные iOS и Android приложения
- Приложения c REST API back-end

Будут рассмотрена интеграция и использование наиболее популярных open source и коммерческих инструментов ИБ.

В курсе делается упор на практику Scrum / Kanban, но подходы и инструменты могут также использоваться в традиционной Waterfall модели ведения проектов. В ходе онлайн уроков и в групповой работе в чате имеется возможность поделиться своей экспертизой или перенять компетенции экспертов. Курс разработан в парадигме постоянного обмена опытом между слушателями и преподавателями.

Знания и навыки которые вы приобретете

- Переход от модели безопасности “защита периметра” к модели “построение безопасности процесса разработки”
- Словарь, термины и объекты используемые в инструментах ИБ - CWE, CVE, Exploit и др.
- Основные стандарты, методики, источники информации - OWASP, NIST, PCI DSS, CIS и др.
- Выявление и устранение уязвимостей на всех этапах от проектирования архитектуры до вывода в production

А также научатся интегрировать в CI/CD и использовать инструменты ИБ из следующих категорий:

- Анализ возможных атак (Threat Modelling)
- Статический анализ исходного кода на безопасность (SAST)
- Динамический анализ приложений на безопасность (IAST/DAST)
- Анализ использования стороннего и открытого программного обеспечения (SCA)
- Тестирование конфигурации на соответствие стандартам безопасности (CIS, NIST, итп)
- Усиление конфигурации и патчинг (Configuration Hardening, Patching)
- Применение менеджмента секретов и сертификатов (Secrets and Certificates Management)
- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end
- Применение Web-Application Firewall (WAF)
- Межсетевые экраны нового поколения (NGFW)
- Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
- Мониторинг безопасности и реакция на события в ИБ (SIEM)
- Криминалистическая экспертиза (Forensic Analysis)

Кроме того, тим-лидеры получат рекомендации о практике успешного внедрения DevSecOps:

- Как подготовить и успешно провести мини-тендер и PoC по выбору инструментов
- Как изменить роли, структуру и зоны ответственности команд разработки, поддержки, ИБ
- Как адаптировать бизнес-процессы продакт менеджмента, разработки, обслуживания, ИБ

Необходимые знания

Опыт работы с Git (GitHub, GitLab, и т.п.), обслуживания приложений в CI/CD (GitLab, Jenkins, и т.п.), работы с инструментами автоматизации конфигурации (Ansible, Chef, и т.п.).

Корпоративное обучение для ваших сотрудников

Подробнее

Получить план обучения для сотрудников

Нажимая кнопку, я принимаю условия Политики обработки персональных данных

Мы обещаем не присылать вам спам

Спасибо!

Мы получили Вашу заявку, в ближайшее время с Вами свяжется наш менеджер.

Программа обучения

В процессе обучения вы получите комплексные знания и навыки.

Модуль 1 Базис знаний информационной безопасности

Тема 1. Вводная лекция. Правила, целеполагание и рекомендации

Тема 2. Словарь, термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности

Тема 3. Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры

Модуль 2 Обзор уязвимостей OWASP

Тема 4. Разбор уязвимостей OWASP Top 10 Web // ДЗ

Тема 5. Разбор уязвимостей OWASP Top 10 - REST API // ДЗ

Модуль 3 Особенности разработки безопасного кода и использования фреймворков

Тема 6. Безопасная разработка в HTML/CSS и PHP // ДЗ

Тема 7. Безопасная разработка в Java/Node.js // ДЗ

Тема 8. Безопасная разработка в .NET

Тема 9. Безопасная разработка в Python // ДЗ

Тема 10. Безопасная разработка и уязвимости программного кода // ДЗ

Тема 11. Q&A. Сессия вопросов и ответов

Модуль 4 Разработка безопасных контейнерных и serverless приложений

Тема 12. Введение в Docker

Тема 13. Работа с данными и сетями в Docker

Тема 14. Сборка и оптимизация Docker-образов

Тема 15. Обеспечение безопасности в Docker контейнерах // ДЗ

Тема 16. Обеспечение безопасности в Kubernetes // ДЗ

Тема 17. Обеспечение безопасности в ОС Linux

Тема 18. Обеспечение безопасности ОС Windows

Модуль 5 Интеграция и работа с инструментами ИБ в рамках DevSecOps

Тема 19. Обеспечение безопасности CI/CD тулчейна и DevOps процесса // ДЗ

Тема 20. Обзор DevSecOps инструментария // ДЗ

Тема 21. Анализ исходного кода на безопасность (SAST/ DAST/IAST) // ДЗ

Тема 22. Применение защиты для REST-API внутри микро-сервисных приложений и на back-end // ДЗ

Тема 23. Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection // ДЗ

Тема 24. Q&A. Сессия вопросов и ответов

Тема 25. Современные средства периметральной безопасности сети (NGFW/Sandbox) // ДЗ

Тема 26. Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)

Тема 27. Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR) // ДЗ

Тема 28. Моделирование угроз и тестирование на проникновение // ДЗ

Тема 29. План проекта и методика трансформации организации в DevSecOps

Модуль 6 Проектный модуль

Тема 30. Выбор темы

Тема 31. Консультации и обсуждения проектной работы

Тема 32. Защита проектов

Скачать подробную программу

Получить подробную программу обучения

Нажимая кнопку, я принимаю условия Политики обработки персональных данных

Мы обещаем не присылать вам спам

Получить подробную программу обучения

Скачать подробную программу

Процесс обучения

Курс длится 4 месяца, или 16 недель. Ориентировочные затраты времени - 6 часов в неделю. Каждую неделю: - проводится два 2-х часовых онлайн вебинара - теория / демо (всего 32 вебинара) - выдается слайд-дек с вебинара и видео-запись вебинара - выдается одно домашнее задание - изучить технологию, выполнить лабораторную работу По всем практическим заданиям преподаватели дают развернутый фидбек. Преподаватели постоянно находятся в едином коммуникационном пространстве с группой на протяжении всего курса, т. е. в процессе обучения слушатель может задавать уточняющие вопросы по материалам лекций и домашних заданий, взаимодействовать с преподавателями.

Получить консультацию

Наш специалист свяжется с вами в ближайшее время. Если у вас возникли трудности в выборе курса или проблемы технического плана, то мы с радостью поможем вам.

Я принимаю условия Политики обработки персональных данных и Пользовательского соглашения

Спасибо!

Мы получили Вашу заявку, в ближайшее время с Вами свяжется наш менеджер.

После обучения вы

заберете с собой материалы по всем занятиям (презентации, записи вебинаров, примеры практических задач);

получите сертификат о прохождении курса;

научитесь интегрировать в CI/CD и использовать инструменты ИБ

приобретете знания, необходимые для успешного использования ИБ инструментария;

Ваш сертификат

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Дата выдачи:
25 мая 2025 г.

Город:
Москва

Зам. директора департамента образования
ООО “Отус Онлайн-Образование”
Вдовиченко М.M.

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

онлайн-образование

Сертификат №0001

Константин Константинопольский

Успешно закончил курс «Внедрение и работа в DevSecOps»
Выполнено практических заданий: 16 из 16

Общество с ограниченной ответственностью “Отус Онлайн-Образование”

Дата выдачи:
25 мая 2025 г.

Город:
Москва

Зам. директора департамента образования
ООО “Отус Онлайн-Образование”
Вдовиченко М.M.

Лицензия на осуществление образовательной деятельности
№ 039825 от 28 декабря 2018 года.

Прошедшие открытые вебинары

Открытый вебинар — это настоящее занятие в режиме он-лайн с преподавателем курса, которое позволяет посмотреть, как проходит процесс обучения. В ходе занятия слушатели имеют возможность задать вопросы и получить знания по реальным практическим кейсам.

Современные средства периметральной безопасности

День открытых дверей

15 сентября 2021 года в 20:00

Оставьте заявку, чтобы получить доступ к записям прошедших мероприятий. Записи всех мероприятий появятся в этом блоке