Внедрение и работа в DevSecOps [OTUS] [Владимир Гуторов] Часть 1
Хакерские атаки, электронное мошенничество и утечки данных. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.
Курс предназначен для специалистов следующих профилей:
Скрытое содержимое.
Хакерские атаки, электронное мошенничество и утечки данных. Разработка и сопровождение кода и защита инфраструктуры с учетом обеспечения безопасности становится первостепенным требованием к IT специалистам. Именно такие специалисты являются самыми высокооплачиваемыми и востребованными у крупных работодателей: Microsoft, Google, Amazon Web Services, Mail.Ru Group, Yandex, Сбербанк и других.
Курс предназначен для специалистов следующих профилей:
- Разработчиков
- Тестировщиков
- Архитекторов
- DevOps инженеров и Администраторов
- Специалистов по информационной безопасности которые хотят научиться разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак в автоматизированном DevSecOps процессе.
- Традиционные монолитные / собственная корпоративная сеть и ЦОД
- Микро-сервисные Docker cloud-native приложения разворачиваемые в облаке
- Микро-сервисные Serverless cloud-native приложения разворачиваемые в облаке
- Мобильные iOS и Android приложения и встраиваемые (embedded) IoT приложения
- Особое внимание уделяется анализу уязвимостей и защите REST API
- Введение в безопасность cloud-native приложений и облачной инфраструктуры
- Обзор архитектуры DevSecOps тулчейна - Классификация инструментов используемых в DevSecOps
- Список видов слабостей исходного программного кода (CWE)
- База данных уязвимостей и воздействий в готовых продуктах (CVE)
- Соответствие стандартам (Compliance) и упрочение конфигурации (Hardening)
- Программа и инструменты начального обучения специалистов при переходе к DevSecOps
- Статический анализ на безопасность исходного кода (SAST)
- Динамический анализ на безопасность готовых Мобильных и IoT приложений (DAST)
- Интерактивный анализ на безопасность приложений (IAST)
- Анализ на безопасность стороннего и открытого программного обеспечения (SCA)
- Тестирование на проникновение (Penetration Testing)
- Усиление конфигурации и Патчи (Hardening and Pathing) - теория и инструментарий
- Cloud-natice WebApplication Файервол (WAF)
- Система обнаружения / предотвращений вторжений (IDS/IPS)
- Мониторинг безопасности приложений и сети, Анализ в реальном времени событий и тревог ИБ (SIEM)
- Процедура анализа и автоматизированной реакции на ИБ события (SOAR)
- Криминалистическая экспертиза (Forensic Analysis)
- Итоговое обзорное занятие по изученным инструментам
- План трансформации и практические шаги при переходе от DevOps к DevSecOps
- Коррекция зон ответственности и бизнеспроцессов для успешного перехода к DevSecOps
- Коррекция рабочих ролей для успешного перехода к DevSecOps