Implementering og arbeid i DevSecOps - kurs 88 000 rub. fra Otus, trening 5 måneder, Dato 30. oktober 2023.
Miscellanea / / November 30, 2023
I dag står vi konstant overfor hackerangrep, e-postsvindel og datalekkasjer. Nettarbeid har blitt et forretningskrav og en ny realitet. Utvikling og vedlikehold av kode og beskyttelse av infrastruktur med sikkerhet i tankene er i ferd med å bli et overordnet krav for IT-spesialister. Det er disse spesialistene som er de høyest betalte og etterspurte blant store arbeidsgivere: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank og andre.
Hvem er dette kurset for?
Å utvikle infrastruktur og applikasjonsstabler i den kontinuerlige flyten av Agile DevOps-endringer krever kontinuerlig arbeid med informasjonssikkerhetsverktøy. Den tradisjonelle perimeterfokuserte sikkerhetsmodellen fungerer ikke lenger. I DevOps faller ansvaret for sikkerhet på alle deltakere i Dev[Sec]Ops-prosessen.
Kurset er beregnet på spesialister innen følgende profiler:
- Utviklere
- DevOps-ingeniører og administratorer
- Testere
- Arkitekter
- Spesialister på informasjonssikkerhet
- Spesialister som ønsker å lære å utvikle og vedlikeholde applikasjoner og infrastruktur med høy grad av beskyttelse mot eksterne og interne angrep i en automatisert DevSecOps-prosess.
Formålet med kurset
Vellykket implementering av DevSecOps er bare mulig med en integrert tilnærming til verktøy, forretningsprosesser og mennesker (deltakerroller). Kurset gir kunnskap om alle tre elementene og ble opprinnelig utviklet for å støtte CI/CD-verktøykjeden og arbeidertransformasjonsprosjektet DevOps-prosesser til en full DevSecOps-praksis ved å bruke de nyeste automatiserte sikkerhetsverktøyene.
Kurset vil dekke sikkerhetsfunksjonene til følgende typer applikasjoner:
- Tradisjonelle monolittiske 2/3-lags applikasjoner
- Kubernetes-applikasjoner - i din egen DC, Public Cloud (EKS, AKS, GKE)
- Mobile iOS- og Android-applikasjoner
- Applikasjoner med REST API back-end
Integrering og bruk av de mest populære verktøyene for åpen kildekode og kommersiell informasjonssikkerhet vil bli vurdert.
Kurset legger vekt på Scrum/Kanban-praksis, men tilnærmingene og verktøyene kan også brukes i den tradisjonelle Waterfall-prosjektstyringsmodellen.
Kunnskap og ferdigheter du vil tilegne deg
- Overgang fra sikkerhetsmodellen «perimeterbeskyttelse» til modellen «beskyttelse av alle lag».
- Ordbok, termer og objekter brukt i informasjonssikkerhetsverktøy - CWE, CVE, Exploit, etc.
- Grunnleggende standarder, metoder, informasjonskilder - OWASP, NIST, PCI DSS, CIS, etc.
De vil også lære hvordan de kan integreres i CI/CD og bruke informasjonssikkerhetsverktøy fra følgende kategorier:
- Analyse av mulige angrep (Threat Modeling)
- Statisk analyse av kildekode for sikkerhet (SAST)
- Dynamisk applikasjonssikkerhetsanalyse (IAST/DAST)
- Analyse av bruken av tredjeparts og åpen kildekode-programvare (SCA)
- Testing av konfigurasjonen for samsvar med sikkerhetsstandarder (CIS, NIST, etc.)
- Konfigurasjonsherding, patching
- Anvendelse av hemmeligheter og sertifikater
- Bruk av beskyttelse for REST-API i mikrotjenesteapplikasjoner og på back-end
- Anvendelse av Web-Application Firewall (WAF)
- Neste generasjons brannmurer (NGFW)
- Manuell og automatisert penetrasjonstesting (penetrasjonstesting)
- Sikkerhetsovervåking og respons på hendelser innen informasjonssikkerhet (SIEM)
- Rettsmedisinsk analyse
I tillegg vil teamledere motta anbefalinger om praksis for vellykket implementering av DevSecOps:
- Hvordan forberede og gjennomføre et minianbud og PoC for valg av verktøy
- Hvordan endre roller, struktur og ansvarsområder for utviklings-, support-, informasjonssikkerhetsteam
- Hvordan tilpasse forretningsprosesser for produktstyring, utvikling, vedlikehold, informasjonssikkerhet
2
kursOver 12 års arbeid innen IT, klarte jeg å jobbe som utvikler, tester, devops og devsecops-ingeniør i selskaper som NSPK (utvikler av MIR-kortet), Kaspersky Lab, Sibur og Rostelecom. For øyeblikket...
Over 12 års arbeid innen IT, klarte jeg å jobbe som utvikler, tester, devops og devsecops-ingeniør i selskaper som NSPK (utvikler av MIR-kortet), Kaspersky Lab, Sibur og Rostelecom. For tiden er jeg leder for sikker utvikling i Digital Energy (Rostelecom group of company) Min praktiske erfaring er basert på kunnskap om språkene C#, F#, dotnet core, python, utvikling og integrasjon av ulike DevOps og DevSecOps praksisverktøy (SAST/SCA, DAST/IAST, webapplikasjonsskanning, infrastrukturanalyse, mobilskanning applikasjoner). Jeg har lang erfaring med å distribuere og støtte k8s-klynger, og jobber med skyleverandører. Jeg utfører sikkerhetsrevisjoner og distribuerer tjenestenettverk. Jeg er forfatter av mine egne kurs om programmering, testing, relasjonelle og ikke-relasjonelle databaser, arbeider med skyleverandører og administrering av bare-metal-servere. Foredragsholder på internasjonale konferanser.
1
vi vilInformasjonssikkerhetsanalytiker, Sovcombank
Erfaring innen informasjonssikkerhet siden 2018 Spesialisering: - Infrastruktursikkerhetskontroll - Bygge sårbarhetshåndteringsprosesser for ulike plattformer (mikrotjenester og DevOps, Host OS, nettverksutstyr OS, Mobil, DB, Virtualisering) - Håndtering av informasjonssikkerhetspolicyer og krav innen infrastruktur og prosjekter utvikling. Lærer
1
vi vilHar revidert kommersielle nettverk siden 2017. Deltatt i utviklingen av en sikkerhetsmodell for den mellomstatlige banken i Ukraina "AT Oschadbank" Hovedfunksjonen ved testing er pentest ved bruk av "black box"-metoden. Har jobbet med python og bush siden 2016...
Har revidert kommersielle nettverk siden 2017. Deltok i utviklingen av en sikkerhetsmodell for den mellomstatlige banken i Ukraina "AT Oschadbank"Hovedtrekket ved testing er pentest ved bruk av "black box"-metoden. Har jobbet med python og bush siden 2016. Erfaring med å jobbe med unix-systemer, spesielt distribusjoner basert på Debian. Lærer
Kunnskapsbase for informasjonssikkerhet
-Tema 1. Ordbok, termer, standarder, metoder, informasjonskilder brukt i informasjonssikkerhetsverktøy
-Tema 2. Grunnleggende prinsipper for å sikre informasjonssikkerhet for applikasjonsstabelen og infrastrukturen
OWASP sårbarhetsoversikt
-Tema 3. Analyse av OWASP Topp 10 Web-sårbarheter
-Tema 4. Analyse av OWASP Topp 10 sårbarheter - REST API
Funksjoner ved å utvikle sikker kode og bruke rammeverk
-Tema 5. Sikker utvikling i HTML/CSS og PHP
-Tema 6. Sikker utvikling og sårbarheter i programvarekode
-Tema 7. Sikker utvikling i Java/Node.js
-Tema 8. Sikker utvikling i .NET
-Tema 9. Sikker utvikling i Ruby
Utvikling av sikre container- og serverløse applikasjoner
-Tema 10. Sikre sikkerhet i Linux OS
-Tema 11. Sikre sikkerhet i Docker-containere
-Tema 12. Sikring av Kubernetes
Integrasjon og arbeid med informasjonssikkerhetsverktøy innen DevSecOps
-Tema 13. Sikre sikkerheten til CI/CD-verktøykjeden og DevOps-prosessen
-Emne 14. Gjennomgang av DevSecOps-verktøy
-Tema 15. Sikkerhetsanalyse av kildekode (SAST/DAST/IAST)
-Emne 16. Bruk av beskyttelse for REST-API i mikrotjenesteapplikasjoner og på back-end.
-Emne 17.Bruk av Web-Application Firewall (WAF) for nettbeskyttelse, REST API, Bot-beskyttelse.
-Emne 18.Moderne nettverksperimetersikkerhetsverktøy (NGFW/Sandbox)
-Tema 19. Trusselmodellering og penetrasjonstesting
-Tema 20. Sikkerhetsovervåking og respons på hendelser innen informasjonssikkerhet (SIEM/SOAR)
-Tema 21. Prosjektplan og metodikk for å transformere en organisasjon til DevSecOps.
Prosjektmodul
-Tema 22.Velge et tema
-Tema 23. Konsultasjoner og diskusjoner av prosjektarbeid
-Tema 24.Beskyttelse av prosjekter