DevSecOps-инженер помогает разработчикам создать безопасное ПО.
Находит и устраняет уязвимости до релиза, внедряет средства защиты и автоматизирует процессы.
Компании ценят таких специалистов: они заботятся о качестве продукта, снижая риски репутационных и финансовых потерь.
Кому подойдет курс:
a) DevOps-инженерам
Поможем освоить практики DevSecOps и кибербезопасности. Подскажем, как перейти в перспективное направление и зарабатывать больше.
b) Специалистам по кибербезопасности
Получите опыт применения DevSecOps и проведения аудита по безопасности. Сможете внедрить методологию в работу.
c) Разработчикам
Научитесь использовать DevSecOps в процессах разработки. Сможете находить уязвимости и создавать более безопасный продукт.
Станьте специалистом по DevSecOps:
- Вы получите максимум пользы от курса, если владеете Linux, методиками DevOps, базовыми навыками программирования и знаниями ИБ, OWASP.
- Одна из первых образовательных программ в России по методологиям DevSecOps. Вы освоите передовые технологии и компетенции, востребованные IT-компаниями международного уровня.
Технологии, которые вы освоите:
- Kubernetes;
- HashiCorp (Vault, Terraform);
- GitLab;
- OpenVAS;
- Lynis;
- CIS Benchmark;
- SAST\DAST;
- Graylog;
- Grafana;
- TruffleHog;
- OWASP Zap;
- Ansible.
1. Методики DevOps и DevSecOps. Вводный курс.
Изучите методики DevSecOps и узнаете, в чём их отличие от DevOps. Выполните практическую работу с GitLab CI\CD, первым конвейером непрерывной интеграции.
Навыки по итогам курса:
Познакомитесь с понятиями IaC, AaC, облачными провайдерами Mail Cloud Solutions, AWS, GCP и системой оркестрации контейнерами Kubernetes.
Навыки по итогам курса:
Рассмотрите методику анализа open-source компонент (SCA, OWASP Component Analysis, C-SCRM) и примените методику на разработанном CI\CD pipeline.
Навыки по итогам курса:
Просканируете на наличие слабых мест контейнеры и Linux-машины, подберёте оптимальный набор защитных мер.
Навыки по итогам курса:
Узнаете, как правильно хранить, получать доступ и развёртывать секреты в приложениях, системах и инфраструктуре. Как обеспечивать безопасность данных приложения с помощью одного централизованного процесса для шифрования данных.
Навыки по итогам курса:
Изучите основы статического и динамического анализа кода. Поработаете с инструментами SonarQube, OWASP Zap\Burp Suite и займётесь поиском и устранением найденных уязвимостей.
Навыки по итогам курса:
Изучите методики DevSecOps и узнаете, в чём их отличие от DevOps. Выполните практическую работу с GitLab CI\CD, первым конвейером непрерывной интеграции.
Навыки по итогам курса:
- Методики DevOps
- Подходы интеграции безопасности в DevOps (shifting left on security)
- Основные инструменты CI\CD: GitLab, Jenkins, CircleCI, GitHub Action
- Практическая работа с GitLab CI\CD. Первый конвейер непрерывной интеграции, доставки и первое развернутое приложение
Познакомитесь с понятиями IaC, AaC, облачными провайдерами Mail Cloud Solutions, AWS, GCP и системой оркестрации контейнерами Kubernetes.
Навыки по итогам курса:
- Знание терминов и подходов IaC\AaC, Dev\Test\Prod
- Облачные провайдеры Mail Cloud Solutions, AWS, GCP. Регистрация, создание первых серверов (инстансов), настройка и тонкости работы
- Ansible: схема внедрения, playbooks, синтаксис YAML
- Система оркестрации контейнерами Kubernetes: схема внедрения, возможности интеграции с GitLab, внутреннее устройство
- Terraform: схема внедрения, принципы работы
Рассмотрите методику анализа open-source компонент (SCA, OWASP Component Analysis, C-SCRM) и примените методику на разработанном CI\CD pipeline.
Навыки по итогам курса:
- Методики анализа компонентного/стороннего и открытого ПО (SCA,OWASP Component Analysis, C-SCRM)
- Инструменты SCA: Dependency Check, Dependency Track, Snyk Open-source, Vulners
- Инструменты для поиска секретов в репозиториях: git-secrets, Gitrob, TruffleHog, Gitleaks
Просканируете на наличие слабых мест контейнеры и Linux-машины, подберёте оптимальный набор защитных мер.
Навыки по итогам курса:
- CIS Benchmark: подходы к усилению защиты Docker/Linux/Kubernetes
- Инструменты:Clair, Lynis, Lunar, OpenVAS, OpenSCAP
- Базовые подходы к обеспечению безопасности: контроль обновлений ОС, надёжные пароли, авторизация по ключу, встроенный межсетевой экран, удаление лишних и неиспользуемых программ, резервное копирование, принцип минимальных привилегий
- Расширенные подходы к обеспечению безопасности: SELinux, AppArmor, Seccomp, PAM (подключаемые модули аутентификации), применение TLS, периодический аудит безопасности
- Безопасность Docker: ограничение пользователя в правах (non-root), ограниченное выделение ресурсов, сканирование образов Docker
- Безопасность Kubernetes: включение ролевой модели доступа, контроль трафика между экземплярами приложений, аудит внутри кластера, разделение приложение по пространствам имён (namespaces)
Узнаете, как правильно хранить, получать доступ и развёртывать секреты в приложениях, системах и инфраструктуре. Как обеспечивать безопасность данных приложения с помощью одного централизованного процесса для шифрования данных.
Навыки по итогам курса:
- Типы секретов: логин/пароль, SSH-ключи, TLS сертификаты, API-tokens
- Подходы к управлению секретами
- Хранилища секретов (vaults): hashicorp vault, AWS KMS, встроенные хранилища
- Venafi, инструмент управления идентификационными данными M2M
Изучите основы статического и динамического анализа кода. Поработаете с инструментами SonarQube, OWASP Zap\Burp Suite и займётесь поиском и устранением найденных уязвимостей.
Навыки по итогам курса:
- Подход Secure SDLC: основные ошибки, допускаемые при написании приложений на популярных языках программирования, методы безопасной разработки
- Методологии тестирования защищённости: Open Source Security Testing, Methodology Manual (OSSTMM), Information Systems Security Assessment, Framework (ISSAF), NIST 800-42 Guideline on Network Security Testing, OWASP Testing Guide
- Основные уязвимости по OWASP Top-10 (Web, Rest API, Mobile, IoT)
- SAST-инструменты: GitLab SAST, SonarQube, ShiftLeft Scan
- DAST-инструменты: OWASP Zap\Burp Suite
- Сканеры образов Docker: Anchore, Trivy
https://new.geekbrains.ru/devsecops