Implementering och arbete i DevSecOps - kurs 88 000 rub. från Otus, utbildning 5 månader, Datum 30 oktober 2023.

Idag står vi ständigt inför hackerattacker, e-postbedrägerier och dataläckor. Onlinearbete har blivit ett affärskrav och en ny verklighet. Att utveckla och underhålla kod och skydda infrastruktur med säkerhet i åtanke blir ett avgörande krav för IT-specialister. Det är dessa specialister som är de högst betalda och efterfrågade bland stora arbetsgivare: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank och andra.

Vem är den här kursen för?
Att utveckla infrastruktur och applikationsstackar i det kontinuerliga flödet av Agile DevOps-förändringar kräver kontinuerligt arbete med informationssäkerhetsverktyg. Den traditionella perimeterfokuserade säkerhetsmodellen fungerar inte längre. I DevOps faller ansvaret för säkerheten på alla deltagare i Dev[Sec]Ops-processen.

Kursen är avsedd för specialister inom följande profiler:
- Utvecklare
- DevOps ingenjörer och administratörer
- Testare
- Arkitekter
- Informationssäkerhetsspecialister
- Specialister som vill lära sig att utveckla och underhålla applikationer och infrastruktur med hög grad av skydd mot externa och interna attacker i en automatiserad DevSecOps-process.

Syfte med kursen
Framgångsrik implementering av DevSecOps är endast möjlig med en integrerad strategi för verktyg, affärsprocesser och människor (deltagarroller). Kursen ger kunskap om alla tre element och utvecklades ursprungligen för att stödja CI/CD-verktygskedjan och arbetartransformationsprojektet DevOps process till en fullständig DevSecOps praxis med de senaste automatiserade säkerhetsverktygen.

Kursen kommer att täcka säkerhetsfunktionerna för följande typer av applikationer:
- Traditionella monolitiska 2/3-nivåapplikationer
- Kubernetes-applikationer - i din egen DC, Public Cloud (EKS, AKS, GKE)
- Mobila iOS- och Android-applikationer
- Applikationer med REST API back-end

Integreringen och användningen av de mest populära verktygen för öppen källkod och kommersiell informationssäkerhet kommer att övervägas.
Kursen betonar Scrum/Kanban-praxis, men tillvägagångssätten och verktygen kan också användas i den traditionella Waterfall-projektledningsmodellen.

Kunskaper och färdigheter du kommer att skaffa dig
- Övergång från säkerhetsmodellen "perimeterskydd" till modellen "skydd av alla lager".
- Ordbok, termer och objekt som används i informationssäkerhetsverktyg - CWE, CVE, Exploit, etc.
- Grundläggande standarder, metoder, informationskällor - OWASP, NIST, PCI DSS, CIS, etc.

De kommer också att lära sig hur man integrerar i CI/CD och använder informationssäkerhetsverktyg från följande kategorier:
- Analys av möjliga attacker (Threat Modeling)
- Statisk analys av källkod för säkerhet (SAST)
- Dynamisk applikationssäkerhetsanalys (IAST/DAST)
- Analys av användningen av programvara från tredje part och öppen källkod (SCA)
- Testa konfigurationen för överensstämmelse med säkerhetsstandarder (CIS, NIST, etc.)
- Konfigurationshärdning, lappning
- Tillämpning av hemligheter och certifikathantering
- Tillämpa skydd för REST-API i mikrotjänstapplikationer och på back-end
- Tillämpning av Web-Application Firewall (WAF)
- Nästa generations brandväggar (NGFW)
- Manuell och automatiserad penetrationstestning (penetrationstestning)
- Säkerhetsövervakning och svar på händelser inom informationssäkerhet (SIEM)
- Forensisk analys

Dessutom kommer teamledare att få rekommendationer om metoder för att framgångsrikt implementera DevSecOps:
- Hur man förbereder och framgångsrikt genomför ett minianbud och PoC för val av verktyg
- Hur man ändrar roller, struktur och ansvarsområden för utvecklings-, support-, informationssäkerhetsteam
- Hur man anpassar affärsprocesser för produkthantering, utveckling, underhåll, informationssäkerhet

Philip Ignatenko

2

kurs

Under 12 års arbete inom IT hann jag arbeta som utvecklare, testare, devops och devsecops ingenjör i företag som NSPK (utvecklare av MIR-kortet), Kaspersky Lab, Sibur och Rostelecom. För tillfället...

Daniel Nosenko

1

väl

Har granskat kommersiella nätverk sedan 2017. Deltog i utvecklingen av en säkerhetsmodell för den mellanstatliga banken i Ukraina "AT Oschadbank" Huvudfunktionen i testningen är pentest med "black box"-metoden. Arbetar med python och bush sedan 2016...