DevSecOps: безопасная разработка и эксплуатация [Яндекс Практикум]
За 3 месяца научитесь выстраивать процессы, чтобы обеспечить безопасность на всех этапах разработки приложения
Это курс для специалистов, которые уже знакомы с DevOps‑инструментами
Нужно иметь опыт работы с Git, Docker CI/CD и Linux, понимать принципы функционирования веб-приложения и сетевые протоколы (HTTP, TCP/IP)
Через 3 месяца вы сможете:
Цена 88000 руб
За 3 месяца научитесь выстраивать процессы, чтобы обеспечить безопасность на всех этапах разработки приложения
Это курс для специалистов, которые уже знакомы с DevOps‑инструментами
Нужно иметь опыт работы с Git, Docker CI/CD и Linux, понимать принципы функционирования веб-приложения и сетевые протоколы (HTTP, TCP/IP)
Через 3 месяца вы сможете:
- Объяснить принципы DevSecOps и описать, как безопасность интегрируется в DevOps‑процессы на всех этапах SDLC
- Настраивать и внедрять в CI/CD-пайплайны инструменты безопасности: SAST, SCA, DAST, WAF, Trivy, Vault и другие
- Оценивать уязвимости в коде, зависимостях, контейнерах и инфраструктуре при помощи современных средств автоматизации
- Разрабатывать и внедрять безопасные пайплайны с учётом угроз, рисков и лучших практик DevSecOps
- Анализировать и минимизировать риски, используя фреймворки угроз и зрелости безопасности
- Повышать уровень безопасности контейнеров и кластеров Kubernetes при помощи защитных мер по рекомендациям CIS Benchmarks
- Настраивать безопасное хранение секретов и контролировать доступ к инфраструктуре при помощи Vault, Keycloak и LDAP
- Использовать Linux-механизмы безопасности (AppArmor, SELinux, Seccomp) для защиты среды исполнения
- Проводить тестирование на проникновение и анализ инцидентов при помощи Nmap, Metasploit, SIEM и других инструментов
- Docker
- Harbor
- Trivy
- SonarQube
- Kubernetes
- Keycloak
- Vault
- Terraform
- Ansible
- Metasploit
- Nmap
- Shift Left
- Secure SDLC
- SIEM-системы
- CIS Benchmarks
- Threat Modeling
- OWASP Top 10
- Snyk
- Burp Suite
- iptables
- nftables
- Postmortem
- DefectDojo
- BSIMM
- WAF
- Основы изоляции и поиск уязвимостей в контейнерах
- Анализ уязвимостей в Trivy
- Введение в DevSecOps
- Принципы DevSecOps
- Инструменты и технологии DevSecOps
- Основные механизмы безопасности Linux
- Изоляция в Docker, угрозы и атаки на контейнеры
- Kubernetes
- Безопасность инфраструктуры
- Интеграция в CI/CD
- Тестирование безопасности
- SIEM-системы
- MITRE ATT&CK
- Threat Modeling
- Итоговый проект
Рассчитана на 3 месяца; нагрузка — от 15 часов в неделю
3 часа
Основы изоляции и поиск уязвимостей в контейнерах
1 модуль — бесплатно, чтобы вы познакомились с платформой и определились, подходит ли вам курс.
Поймёте базовые принципы безопасности контейнеризации и идентифицируете риски и угрозы при работе с контейнерами
Анализ уязвимостей в Trivy
Проведёте базовую проверку контейнерных образов на наличие уязвимостей
Управление артефактами в Harbor
Настроите безопасное хранение артефактов в собственном приватном Docker Registry с Harbor
Базовые рекомендации CIS Benchmarks
Примените лучшие практики безопасности на уровне Docker
Изолируете процессы в Docker и проверите параметры безопасности, повысите привилегии в небезопасных контейнерах через уязвимый suid-файл. Развернёте приватный реестр Harbor для хранения образов. Проверите уязвимости контейнерных образов с использованием Trivy
1 проект・1 неделя
Введение в DevSecOps
Изучите их и роль безопасности на всех этапах SDLC, сможете определять базовые угрозы безопасности в разработке и эксплуатации
Пайплайны DevSecOps
Построите базовый пайплайн, используя концепции Shift Left и непрерывной безопасности
Основные типы уязвимостей и атак
Классифицируете уязвимости и угрозы в приложениях, изучите базовые фреймворки угроз: OWASP Top 10, MITRE ATT&CK, MITRE ATLAS
Построите схему DevSecOps-пайплайна. Классифицируете угрозы на примерах приложений. Составите чек-лист OWASP Top 10 для тестового приложения
1 проект・2 недели
Инструменты и технологии DevSecOps
Изучите основные виды анализа: статический (SAST), композиционный (SCA), динамический (DAST)
Интеграция SAST-, SCA- и DAST-инструментов
Интегрируете инструменты анализа безопасности в CI/CD-процессы
Использование Secure SDLC и Shift Left Testing
Научитесь выявлять и устранять уязвимости в коде и зависимостях
Настроите SAST-анализ проекта через SonarQube или Snyk и SCA-сканирование зависимостей через Trivy. Интегрируете DAST-тестирования с OWASP ZAP в пайплайн CI/CD. Проанализируете результаты сканирования и исправите найденные уязвимости
1 проект・1 неделя
Безопасность Linux
Изучите основные механизмы безопасности операционных систем на базе Linux
Настройка контроля доступа
Научитесь управлять пользователями, группами и правами доступа в Linux, настроите политики безопасности через AppArmor и SELinux, примените механизмы ограничения системных вызовов через Seccomp
Средства защиты ядра и процессов
Научитесь применять базовые средства защиты ядра и процессов, настроите сетевые правила безопасности в Linux
Настроите политики AppArmor для ограничения прав приложений. Ограничите системные вызовы контейнера через Seccomp. Проверите и настроите базовые политики доступов к файлам и каталогам, а также к фильтрации сетевого трафика через iptables
1 проект・2 недели
Безопасность Docker
Изучите принципы изоляции в Docker, сможете идентифицировать угрозы и атаки, связанные с контейнеризацией приложений
Сборка и запуск контейнеров
Научитесь применять лучшие практики безопасности на этапе сборки образов (минимизация базовых образов, отказ от лишних привилегий) и запускать контейнеры в рантайме
Docker Registry с Harbor
Развернёте и безопасно настроите приватные репозитории для хранения Docker-образов с помощью Harbor
Анализ безопасности контейнеров
Проанализируете уязвимости контейнерных образов с помощью специализированных инструментов
Примените лучшие практики безопасности на этапах сборки образов и запуска контейнеров. Интегрируете инструменты для анализа безопасности в CI/CD‑процессы
1 проект・2 недели
Безопасность Kubernetes
Научитесь анализировать риски и угрозы в Kubernetes-кластере
Политики безопасности в K8s
Настроите политики безопасности и сетевые политики (PodSecurityPolicies и NetworkPolicies) в кластере Kubernetes
Защита K8s-кластеров
Научитесь применять лучшие практики безопасности для защиты кластеров (CIS Benchmarks для Kubernetes)
Развернёте кластер Kubernetes и настроите базовые политики безопасности и сетевые политики для ограничения трафика. Примените рекомендации CIS Benchmark на практике. Ограничите права приложений через настройки RBAC
1 проект・1 неделя
Безопасность инфраструктуры
Настроите реалмы, федерации и пользователей в Keycloak, интегрируете Keycloak с внешними системами через LDAP
Хранение секретов
Настроите безопасное хранение секретов и политик доступа в Vault
Инфраструктура как код (IaC)
Научитесь использовать безопасные подходы при работе с Terraform и Ansible
Интеграция в CI/CD
Интегрируете в CI/CD-процессы системы управления доступами и секретами для безопасной работы
Настроите Keycloak, развернёте Vault и интегрируете его в пайплайн CI/CD. Настроите в Harbor безопасное хранение Docker-образов с аутентификацией через Keycloak. Используете базовые правила безопасности при работе с Terraform и Ansible
1 проект・1 неделя
Тестирование безопасности
Проведёте базовое тестирование приложения и инфраструктуры на безопасность
Инструменты для тестирования безопасности
Научитесь искать и анализировать уязвимости с помощью Metasploit и Nmap
Безопасное окружение
Подготовите окружение для безопасного тестирования
Развернёте тестовое приложение для проверки безопасности. Используете Nmap для сканирования портов и выявления уязвимых сервисов. Проведёте базовые тесты безопасности приложений с помощью Metasploit
1 проект・1 неделя
Мониторинг и реагирование на инциденты
Настроите с помощью SIEM-систем мониторинг событий безопасности: сбор, анализ и корреляцию событий
MITRE ATT&CK
Научитесь применять фреймворк MITRE ATT&CK для интерпретации и классификации атак
Анализ инцидентов и Postmortem
Проведёте первичный анализ инцидента и подготовите Postmortem по результатам инцидента
Настроите мониторинг событий безопасности через SIEM. Сделаете корреляцию событий в реальном времени с помощью MITRE ATT&CK. Проанализируете инцидент на основе собранных логов, напишете Postmortem по итогам анализа инцидента
2 проекта・1 неделя
Оценка угроз и рисков, фреймворки оценки уровня зрелости безопасности
Построите модель угроз для приложений и инфраструктуры, разработаете сценарии атак на основе Threat Modeling
Управление уязвимостями
Научитесь использовать DefectDojo для управления уязвимостями
Зрелость процессов безопасности
Оцените процессы безопасности через фреймворки BSIMM и OWASP SAMM, примените международные стандарты безопасности (ГОСТ, ISO, NIST)
Проведёте Threat Modeling для тестового приложения. Разработаете сценарии атак на основе построенной модели угроз, проведёте учёт и научитесь управлять уязвимостями с помощью DefectDojo. Оцените уровень зрелости безопасности проекта и разработаете стратегию его повышения на основе выявленных рисков и уязвимостей
Самостоятельно・2 недели
Итоговый проект
Оцените уровень DevSecOps-практик в приложении и предложите план улучшений. В результате создадите DevSecOps-пайплайн, построите модель угроз, проанализируете риски, проведёте оценку зрелости практик DevSecOps и сформируете набор рекомендаций.
Как устроен курс
3 часа
Основы изоляции и поиск уязвимостей в контейнерах
1 модуль — бесплатно, чтобы вы познакомились с платформой и определились, подходит ли вам курс.
- Docker
- Harbor
- Trivy
- CIS Benchmarks
Поймёте базовые принципы безопасности контейнеризации и идентифицируете риски и угрозы при работе с контейнерами
Анализ уязвимостей в Trivy
Проведёте базовую проверку контейнерных образов на наличие уязвимостей
Управление артефактами в Harbor
Настроите безопасное хранение артефактов в собственном приватном Docker Registry с Harbor
Базовые рекомендации CIS Benchmarks
Примените лучшие практики безопасности на уровне Docker
Изолируете процессы в Docker и проверите параметры безопасности, повысите привилегии в небезопасных контейнерах через уязвимый suid-файл. Развернёте приватный реестр Harbor для хранения образов. Проверите уязвимости контейнерных образов с использованием Trivy
1 проект・1 неделя
Введение в DevSecOps
- Shift Left
- Secure SDLC
- Threat Modeling
- OWASP Top 10
- MITRE ATT&CK
- MITRE ATLAS
Изучите их и роль безопасности на всех этапах SDLC, сможете определять базовые угрозы безопасности в разработке и эксплуатации
Пайплайны DevSecOps
Построите базовый пайплайн, используя концепции Shift Left и непрерывной безопасности
Основные типы уязвимостей и атак
Классифицируете уязвимости и угрозы в приложениях, изучите базовые фреймворки угроз: OWASP Top 10, MITRE ATT&CK, MITRE ATLAS
Построите схему DevSecOps-пайплайна. Классифицируете угрозы на примерах приложений. Составите чек-лист OWASP Top 10 для тестового приложения
1 проект・2 недели
Инструменты и технологии DevSecOps
- SonarQube
- Snyk
- Trivy
- OWASP ZAP
- Burp Suit
- Secure SDLC
- Shift Left Testing
Изучите основные виды анализа: статический (SAST), композиционный (SCA), динамический (DAST)
Интеграция SAST-, SCA- и DAST-инструментов
Интегрируете инструменты анализа безопасности в CI/CD-процессы
Использование Secure SDLC и Shift Left Testing
Научитесь выявлять и устранять уязвимости в коде и зависимостях
Настроите SAST-анализ проекта через SonarQube или Snyk и SCA-сканирование зависимостей через Trivy. Интегрируете DAST-тестирования с OWASP ZAP в пайплайн CI/CD. Проанализируете результаты сканирования и исправите найденные уязвимости
1 проект・1 неделя
Безопасность Linux
- AppArmor
- SELinux
- Seccomp
- iptables
- nftables
Изучите основные механизмы безопасности операционных систем на базе Linux
Настройка контроля доступа
Научитесь управлять пользователями, группами и правами доступа в Linux, настроите политики безопасности через AppArmor и SELinux, примените механизмы ограничения системных вызовов через Seccomp
Средства защиты ядра и процессов
Научитесь применять базовые средства защиты ядра и процессов, настроите сетевые правила безопасности в Linux
Настроите политики AppArmor для ограничения прав приложений. Ограничите системные вызовы контейнера через Seccomp. Проверите и настроите базовые политики доступов к файлам и каталогам, а также к фильтрации сетевого трафика через iptables
1 проект・2 недели
Безопасность Docker
- Docker
- Harbor
- Trivy
- CIS Benchmarks
Изучите принципы изоляции в Docker, сможете идентифицировать угрозы и атаки, связанные с контейнеризацией приложений
Сборка и запуск контейнеров
Научитесь применять лучшие практики безопасности на этапе сборки образов (минимизация базовых образов, отказ от лишних привилегий) и запускать контейнеры в рантайме
Docker Registry с Harbor
Развернёте и безопасно настроите приватные репозитории для хранения Docker-образов с помощью Harbor
Анализ безопасности контейнеров
Проанализируете уязвимости контейнерных образов с помощью специализированных инструментов
Примените лучшие практики безопасности на этапах сборки образов и запуска контейнеров. Интегрируете инструменты для анализа безопасности в CI/CD‑процессы
1 проект・2 недели
Безопасность Kubernetes
- Kubernetes
- CIS Kubernetes Benchmark
- RBAC
- NetworkPolicies
Научитесь анализировать риски и угрозы в Kubernetes-кластере
Политики безопасности в K8s
Настроите политики безопасности и сетевые политики (PodSecurityPolicies и NetworkPolicies) в кластере Kubernetes
Защита K8s-кластеров
Научитесь применять лучшие практики безопасности для защиты кластеров (CIS Benchmarks для Kubernetes)
Развернёте кластер Kubernetes и настроите базовые политики безопасности и сетевые политики для ограничения трафика. Примените рекомендации CIS Benchmark на практике. Ограничите права приложений через настройки RBAC
1 проект・1 неделя
Безопасность инфраструктуры
- LDAP
- Keycloack
- Vault
- Terraform
- Ansible
Настроите реалмы, федерации и пользователей в Keycloak, интегрируете Keycloak с внешними системами через LDAP
Хранение секретов
Настроите безопасное хранение секретов и политик доступа в Vault
Инфраструктура как код (IaC)
Научитесь использовать безопасные подходы при работе с Terraform и Ansible
Интеграция в CI/CD
Интегрируете в CI/CD-процессы системы управления доступами и секретами для безопасной работы
Настроите Keycloak, развернёте Vault и интегрируете его в пайплайн CI/CD. Настроите в Harbor безопасное хранение Docker-образов с аутентификацией через Keycloak. Используете базовые правила безопасности при работе с Terraform и Ansible
1 проект・1 неделя
Тестирование безопасности
- Metasploit
- Nmap
- OWASP Testing Guide
- Penetration Testing
Проведёте базовое тестирование приложения и инфраструктуры на безопасность
Инструменты для тестирования безопасности
Научитесь искать и анализировать уязвимости с помощью Metasploit и Nmap
Безопасное окружение
Подготовите окружение для безопасного тестирования
Развернёте тестовое приложение для проверки безопасности. Используете Nmap для сканирования портов и выявления уязвимых сервисов. Проведёте базовые тесты безопасности приложений с помощью Metasploit
1 проект・1 неделя
Мониторинг и реагирование на инциденты
- SIEM-системы
- MITRE ATT&CK
- Postmortem
Настроите с помощью SIEM-систем мониторинг событий безопасности: сбор, анализ и корреляцию событий
MITRE ATT&CK
Научитесь применять фреймворк MITRE ATT&CK для интерпретации и классификации атак
Анализ инцидентов и Postmortem
Проведёте первичный анализ инцидента и подготовите Postmortem по результатам инцидента
Настроите мониторинг событий безопасности через SIEM. Сделаете корреляцию событий в реальном времени с помощью MITRE ATT&CK. Проанализируете инцидент на основе собранных логов, напишете Postmortem по итогам анализа инцидента
2 проекта・1 неделя
Оценка угроз и рисков, фреймворки оценки уровня зрелости безопасности
- OWASP Threat Modeling
- MITRE ATT&CK
- DefectDojo
- BSIMM
- OWASP SAMM
- ISO 27001
- NIST 800-53
Построите модель угроз для приложений и инфраструктуры, разработаете сценарии атак на основе Threat Modeling
Управление уязвимостями
Научитесь использовать DefectDojo для управления уязвимостями
Зрелость процессов безопасности
Оцените процессы безопасности через фреймворки BSIMM и OWASP SAMM, примените международные стандарты безопасности (ГОСТ, ISO, NIST)
Проведёте Threat Modeling для тестового приложения. Разработаете сценарии атак на основе построенной модели угроз, проведёте учёт и научитесь управлять уязвимостями с помощью DefectDojo. Оцените уровень зрелости безопасности проекта и разработаете стратегию его повышения на основе выявленных рисков и уязвимостей
Самостоятельно・2 недели
Итоговый проект
Оцените уровень DevSecOps-практик в приложении и предложите план улучшений. В результате создадите DevSecOps-пайплайн, построите модель угроз, проанализируете риски, проведёте оценку зрелости практик DevSecOps и сформируете набор рекомендаций.
Как устроен курс
https://practicum.yandex.ru/devsecops/