Курс: Внедрение и работа в DevSecOps

Продолжительность курса: 132 ак. ч.

Описание курса:
Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Интегрировать тестирование безопасности во все этапы разработки ПО – первостепенно важно для IT-специалиста
Вы научитесь:
1. Переходить от модели «защита периметра» к модели «построение безопасности процесса разработки»
2. Выявлять и устранять уязвимости на всех этапах: от проектирования архитектуры до вывода в production
3. Интегрировать в CI/CD и использовать следующие ИБ-инструменты:
• анализ возможных атак
• проверку исходного кода на безопасность (SAST)
• защиту для REST API внутри микросервисных приложений и на бэкенде
• фаервол для веб-приложений (WAF)
• межсетевые экраны нового поколения (NGFW)
• ручное и автоматизированное тестирование на проникновение
• мониторинг безопасности и реагирование на события в ИБ (SIEM)

Аудитория:
• Системные администраторы
• Тестировщики
• Разработчики
• Архитекторы
• ИБ-специалисты
• DevOps-инженеры

Необходимая подготовка:
• Вы обслуживали приложения в CI и CD, использовали GitLab и Jenkins
• Работали с Git: GitHub, GitLab
• Работали с инструментами автоматизации конфигурации: Ansible, Chef

Программа курса:
Модуль 1. Базис знаний информационной безопасности
• Введение в курс. Термины, стандарты и методики ИБ
• Рынок ИБ: основные тенденции и инструменты для мониторинга
• Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры

Модуль 2. Обзор уязвимостей OWASP
• Разбор уязвимостей OWASP Top 10 Web
• Разбор уязвимостей OWASP Top 10 - REST API

Модуль 3. Особенности разработки безопасного кода и использования фреймворков
• Безопасная разработка в HTML/CSS и PHP
• Безопасная разработка в Java/Node.js
• Безопасная разработка в .NET
• Безопасная разработка в Python
• Безопасная разработка и уязвимости программного кода
• Безопасная разработка в Ruby
• Безопасная разработка Kotlin
• Q&A. Сессия вопросов и ответов

Модуль 4. Разработка безопасных контейнерных и serverless приложений
• Обеспечение безопасности в ОС Linux
• Введение в Docker
• Работа с данными и сетями в Docker
• Сборка и оптимизация Docker-образов
• Обеспечение безопасности в Docker контейнерах
• Основные компоненты Kubernetes
• Kubernetes. Практика
• Обеспечение безопасности в Kubernetes
• Обеспечение безопасности ОС Windows

Модуль 5. Интеграция и работа с инструментами ИБ в рамках DevSecOps
• Обеспечение безопасности CI/CD тулчейна и DevOps процесса
• Обзор DevSecOps инструментария
• Анализ исходного кода на безопасность (SAST/ DAST/IAST)
• Применение защиты для REST-API внутри микро-сервисных приложений и на back-end
• Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection
• Q&A. Сессия вопросов и ответов
• Современные средства периметральной безопасности сети (NGFW/Sandbox)
• Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)
• Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR)
• Моделирование угроз и тестирование на проникновение
• Ручное и автоматизированное тестирование на проникновение (Penetration Testing)
• План проекта и методика трансформации организации в DevSecOps
• Soft skills

Модуль 6. Проектный модуль

Окончательная цена указывается в договоре на обучение. Записаться на курс