Implementering og arbeid i DevSecOps - kurs 88 000 rub. fra Otus, trening 5 måneder, Dato 30. oktober 2023.

I dag står vi konstant overfor hackerangrep, e-postsvindel og datalekkasjer. Nettarbeid har blitt et forretningskrav og en ny realitet. Utvikling og vedlikehold av kode og beskyttelse av infrastruktur med sikkerhet i tankene er i ferd med å bli et overordnet krav for IT-spesialister. Det er disse spesialistene som er de høyest betalte og etterspurte blant store arbeidsgivere: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank og andre.

Hvem er dette kurset for?
Å utvikle infrastruktur og applikasjonsstabler i den kontinuerlige flyten av Agile DevOps-endringer krever kontinuerlig arbeid med informasjonssikkerhetsverktøy. Den tradisjonelle perimeterfokuserte sikkerhetsmodellen fungerer ikke lenger. I DevOps faller ansvaret for sikkerhet på alle deltakere i Dev[Sec]Ops-prosessen.

Kurset er beregnet på spesialister innen følgende profiler:
- Utviklere
- DevOps-ingeniører og administratorer
- Testere
- Arkitekter
- Spesialister på informasjonssikkerhet
- Spesialister som ønsker å lære å utvikle og vedlikeholde applikasjoner og infrastruktur med høy grad av beskyttelse mot eksterne og interne angrep i en automatisert DevSecOps-prosess.

Formålet med kurset
Vellykket implementering av DevSecOps er bare mulig med en integrert tilnærming til verktøy, forretningsprosesser og mennesker (deltakerroller). Kurset gir kunnskap om alle tre elementene og ble opprinnelig utviklet for å støtte CI/CD-verktøykjeden og arbeidertransformasjonsprosjektet DevOps-prosesser til en full DevSecOps-praksis ved å bruke de nyeste automatiserte sikkerhetsverktøyene.

Kurset vil dekke sikkerhetsfunksjonene til følgende typer applikasjoner:
- Tradisjonelle monolittiske 2/3-lags applikasjoner
- Kubernetes-applikasjoner - i din egen DC, Public Cloud (EKS, AKS, GKE)
- Mobile iOS- og Android-applikasjoner
- Applikasjoner med REST API back-end

Integrering og bruk av de mest populære verktøyene for åpen kildekode og kommersiell informasjonssikkerhet vil bli vurdert.
Kurset legger vekt på Scrum/Kanban-praksis, men tilnærmingene og verktøyene kan også brukes i den tradisjonelle Waterfall-prosjektstyringsmodellen.

Kunnskap og ferdigheter du vil tilegne deg
- Overgang fra sikkerhetsmodellen «perimeterbeskyttelse» til modellen «beskyttelse av alle lag».
- Ordbok, termer og objekter brukt i informasjonssikkerhetsverktøy - CWE, CVE, Exploit, etc.
- Grunnleggende standarder, metoder, informasjonskilder - OWASP, NIST, PCI DSS, CIS, etc.

De vil også lære hvordan de kan integreres i CI/CD og bruke informasjonssikkerhetsverktøy fra følgende kategorier:
- Analyse av mulige angrep (Threat Modeling)
- Statisk analyse av kildekode for sikkerhet (SAST)
- Dynamisk applikasjonssikkerhetsanalyse (IAST/DAST)
- Analyse av bruken av tredjeparts og åpen kildekode-programvare (SCA)
- Testing av konfigurasjonen for samsvar med sikkerhetsstandarder (CIS, NIST, etc.)
- Konfigurasjonsherding, patching
- Anvendelse av hemmeligheter og sertifikater
- Bruk av beskyttelse for REST-API i mikrotjenesteapplikasjoner og på back-end
- Anvendelse av Web-Application Firewall (WAF)
- Neste generasjons brannmurer (NGFW)
- Manuell og automatisert penetrasjonstesting (penetrasjonstesting)
- Sikkerhetsovervåking og respons på hendelser innen informasjonssikkerhet (SIEM)
- Rettsmedisinsk analyse

I tillegg vil teamledere motta anbefalinger om praksis for vellykket implementering av DevSecOps:
- Hvordan forberede og gjennomføre et minianbud og PoC for valg av verktøy
- Hvordan endre roller, struktur og ansvarsområder for utviklings-, support-, informasjonssikkerhetsteam
- Hvordan tilpasse forretningsprosesser for produktstyring, utvikling, vedlikehold, informasjonssikkerhet

Philip Ignatenko

2

kurs

Over 12 års arbeid innen IT, klarte jeg å jobbe som utvikler, tester, devops og devsecops-ingeniør i selskaper som NSPK (utvikler av MIR-kortet), Kaspersky Lab, Sibur og Rostelecom. For øyeblikket...

Daniel Nosenko

1

vi vil

Har revidert kommersielle nettverk siden 2017. Deltatt i utviklingen av en sikkerhetsmodell for den mellomstatlige banken i Ukraina "AT Oschadbank" Hovedfunksjonen ved testing er pentest ved bruk av "black box"-metoden. Har jobbet med python og bush siden 2016...