0
zobrazenie
Implementácia a práca v DevSecOps - kurz 88 000 rub. od Otus, školenie 5 mesiacov, Dátum 30.10.2023.
Rôzne / / November 30, 2023
V súčasnosti neustále čelíme hackerským útokom, e-mailovým podvodom a únikom údajov. Práca online sa stala obchodnou požiadavkou a novou realitou. Vývoj a údržba kódu a ochrana infraštruktúry s ohľadom na bezpečnosť sa stáva prvoradou požiadavkou pre IT špecialistov. Práve títo špecialisti sú najlepšie platení a žiadaní medzi veľkými zamestnávateľmi: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank a ďalšie.
Pre koho je tento kurz určený?
Vývoj infraštruktúry a zásobníkov aplikácií v nepretržitom toku zmien Agile DevOps si vyžaduje nepretržitú prácu s nástrojmi informačnej bezpečnosti. Tradičný bezpečnostný model zameraný na obvod už nefunguje. V DevOps padá zodpovednosť za bezpečnosť na všetkých účastníkov procesu Dev[Sec]Ops.
Kurz je určený pre špecialistov v nasledujúcich profiloch:
- Vývojári
- Inžinieri a správcovia DevOps
- Testeri
- Architekti
- Špecialisti na informačnú bezpečnosť
- Špecialisti, ktorí sa chcú naučiť, ako vyvíjať a udržiavať aplikácie a infraštruktúru s vysokým stupňom ochrany pred externými a internými útokmi v automatizovanom procese DevSecOps.
Účel kurzu
Úspešná implementácia DevSecOps je možná len s integrovaným prístupom k nástrojom, obchodným procesom a ľuďom (role účastníkov). Kurz poskytuje znalosti o všetkých troch prvkoch a bol pôvodne vyvinutý na podporu CI/CD nástrojov a projektu transformácie pracovníkov. Proces DevOps na úplnú prax DevSecOps pomocou najnovších automatizovaných bezpečnostných nástrojov.
Kurz sa bude zaoberať bezpečnostnými prvkami nasledujúcich typov aplikácií:
- Tradičné monolitické 2/3-vrstvové aplikácie
- Aplikácie Kubernetes - vo vašom vlastnom DC, verejnom cloude (EKS, AKS, GKE)
- Mobilné aplikácie pre iOS a Android
- Aplikácie s back-endom REST API
Zváži sa integrácia a používanie najpopulárnejších nástrojov na bezpečnosť s otvoreným zdrojom a komerčných informácií.
Kurz kladie dôraz na postupy Scrum/Kanban, ale prístupy a nástroje možno použiť aj v tradičnom modeli riadenia projektu Waterfall.
Vedomosti a zručnosti, ktoré získate
- Prechod z bezpečnostného modelu „obvodová ochrana“ na model „ochrana všetkých vrstiev“.
- Slovník, termíny a objekty používané v nástrojoch informačnej bezpečnosti - CWE, CVE, Exploit atď.
- Základné štandardy, metódy, zdroje informácií - OWASP, NIST, PCI DSS, CIS atď.
Naučia sa tiež, ako sa integrovať do CI/CD a používať nástroje informačnej bezpečnosti z nasledujúcich kategórií:
- Analýza možných útokov (modelovanie hrozieb)
- Statická analýza zdrojového kódu pre bezpečnosť (SAST)
- Dynamická analýza bezpečnosti aplikácií (IAST/DAST)
- Analýza používania softvéru tretích strán a softvéru s otvoreným zdrojovým kódom (SCA)
- Testovanie konfigurácie z hľadiska súladu s bezpečnostnými štandardmi (CIS, NIST atď.)
- Vytvrdzovanie konfigurácie, oprava
- Aplikácia správy tajomstiev a certifikátov
- Aplikovanie ochrany pre REST-API vo vnútri mikroservisných aplikácií a na back-ende
- Aplikácia brány firewall webových aplikácií (WAF)
- Firewall novej generácie (NGFW)
- Manuálne a automatické penetračné testovanie (Penetration Testing)
- Monitorovanie bezpečnosti a reakcia na udalosti v informačnej bezpečnosti (SIEM)
- Forenzná analýza
Vedúci tímov navyše dostanú odporúčania o postupoch úspešnej implementácie DevSecOps:
- Ako pripraviť a úspešne uskutočniť mini tender a PoC na výber nástrojov
- Ako zmeniť úlohy, štruktúru a oblasti zodpovednosti tímov rozvoja, podpory, informačnej bezpečnosti
- Ako prispôsobiť podnikové procesy produktového manažmentu, vývoja, údržby, informačnej bezpečnosti
Filip Ignatenko
2
kurzZa 12 rokov práce v IT sa mi podarilo pracovať ako vývojár, tester, devops a devsecops inžinier v spoločnostiach ako NSPK (vývojár MIR karty), Kaspersky Lab, Sibur a Rostelecom. Momentálne som...
Za 12 rokov práce v IT sa mi podarilo pracovať ako vývojár, tester, devops a devsecops inžinier v spoločnostiach ako NSPK (vývojár MIR karty), Kaspersky Lab, Sibur a Rostelecom. V súčasnosti som vedúcim bezpečného vývoja v Digital Energy (skupina spoločností Rostelecom).Moje praktické skúsenosti sú založené na znalosti jazykov C#, F#, dotnet core, python, vývoj a integrácia rôznych praktických nástrojov DevOps a DevSecOps (SAST/SCA, DAST/IAST, skenovanie webových aplikácií, analýza infraštruktúry, mobilné skenovanie aplikácie). Mám rozsiahle skúsenosti s nasadzovaním a podporou klastrov k8s a spolupracujem s poskytovateľmi cloudu. Vykonávam bezpečnostné audity a nasadzujem servisné siete. Som autorom vlastných kurzov o programovaní, testovaní, relačných a nerelačných databázach, práci s cloud providermi a správe bare-metal serverov. Rečník na medzinárodných konferenciách.
Anton Lukašov
1
dobreAnalytik informačnej bezpečnosti, Sovcombank
Skúsenosti v informačnej bezpečnosti od roku 2018 Špecializácia: - Kontrola bezpečnosti infraštruktúry - Budovanie procesov riadenia zraniteľnosti pre rôzne platformy (mikroslužby a DevOps, Host OS, OS sieťových zariadení, Mobile, DB, Virtualizácia) - Správa politík a požiadaviek informačnej bezpečnosti v rámci infraštruktúry a projektov rozvoj. učiteľ
Daniil Nosenko
1
dobreOd roku 2017 vykonáva audit obchodných sietí. Podieľal sa na vývoji bezpečnostného modelu pre medzištátnu banku Ukrajiny „AT Oschadbank“ Hlavnou črtou testovania je pentest metódou „black box.“ Práca s pythonom a bushom od roku 2016...
Od roku 2017 vykonáva audit obchodných sietí. Podieľal sa na vývoji bezpečnostného modelu pre medzištátnu banku Ukrajiny "AT Oschadbank"Hlavným znakom testovania je pentest metódou "black box"Práca s pythonom a bushom od roku 2016Skúsenosti s prácou s unixovými systémami, najmä distribúciami založenými na Debian. učiteľ
Znalostná báza informačnej bezpečnosti
-Téma 1. Slovník, pojmy, štandardy, metódy, zdroje informácií používané v nástrojoch informačnej bezpečnosti
-Téma 2. Základné princípy zabezpečenia informačnej bezpečnosti aplikačného zásobníka a infraštruktúry
Prehľad zraniteľností OWASP
-Téma 3. Analýza 10 najčastejších webových zraniteľností OWASP
-Téma 4. Analýza 10 najlepších zraniteľností OWASP - REST API
Funkcie vývoja bezpečného kódu a používania rámcov
-Téma 5. Bezpečný vývoj v HTML/CSS a PHP
-Téma 6. Bezpečný vývoj a zraniteľnosti softvérového kódu
-Téma 7. Bezpečný vývoj v Java/Node.js
-Téma 8. Bezpečný vývoj v .NET
-Téma 9. Bezpečný vývoj v Ruby
Vývoj bezpečných kontajnerových a bezserverových aplikácií
-Téma 10. Zabezpečenie bezpečnosti v OS Linux
-Téma 11. Zabezpečenie bezpečnosti v kontajneroch Docker
-Téma 12. Zabezpečenie Kubernetes
Integrácia a práca s nástrojmi informačnej bezpečnosti v rámci DevSecOps
-Téma 13. Zabezpečenie bezpečnosti CI/CD toolchain a procesu DevOps
-Téma 14. Prehľad nástrojov DevSecOps
-Téma 15. Bezpečnostná analýza zdrojového kódu (SAST/DAST/IAST)
-Téma 16.Používanie ochrany pre REST-API vo vnútri mikroservisných aplikácií a na back-ende.
-Téma 17.Použitie Web-Application Firewall (WAF) na ochranu webu, REST API, ochrana proti botom.
-Téma 18. Moderné nástroje na zabezpečenie perimetra siete (NGFW/Sandbox)
-Téma 19. Modelovanie hrozieb a penetračné testovanie
-Téma 20. Monitorovanie bezpečnosti a reakcia na udalosti v informačnej bezpečnosti (SIEM/SOAR)
-Téma 21. Projektový plán a metodika transformácie organizácie na DevSecOps.
Projektový modul
-Téma 22.Výber témy
-Téma 23. Konzultácie a diskusie o projektovej práci
-Téma 24.Ochrana projektov
PrihlÁsenie
YOU MIGHT ALSO LIKE
-
-
02/04/2023 -
19/12/2019