03/01/2021
0
Views
Ieviešana un darbs DevSecOps - kurss 88 000 rub. no Otus, apmācība 5 mēneši, datums 2023. gada 30. oktobris.
Literārs Mistrojums / / November 30, 2023
Šodien mēs pastāvīgi saskaramies ar hakeru uzbrukumiem, krāpšanu e-pastā un datu noplūdi. Darbs tiešsaistē ir kļuvis par biznesa prasību un jaunu realitāti. Koda izstrāde un uzturēšana, kā arī infrastruktūras aizsardzība, domājot par drošību, kļūst par IT speciālistu galveno prasību. Tieši šie speciālisti ir visaugstāk apmaksātie un pieprasītākie lielo darba devēju vidū: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank un citi.
Kam šis kurss ir paredzēts?
Infrastruktūras un lietojumprogrammu skursteņu attīstība nepārtrauktā Agile DevOps izmaiņu plūsmā prasa nepārtrauktu darbu ar informācijas drošības rīkiem. Tradicionālais drošības modelis, kas vērsts uz perimetru, vairs nedarbojas. Programmā DevOps atbildība par drošību gulstas uz visiem Dev[Sec]Ops procesa dalībniekiem.
Kurss paredzēts šādu profilu speciālistiem:
- Izstrādātāji
- DevOps inženieri un administratori
- Testētāji
- Arhitekti
- Informācijas drošības speciālisti
- Speciālisti, kuri vēlas iemācīties izstrādāt un uzturēt lietojumprogrammas un infrastruktūru ar augstu aizsardzības pakāpi pret ārējiem un iekšējiem uzbrukumiem automatizētā DevSecOps procesā.
Kursu mērķis
Veiksmīga DevSecOps ieviešana ir iespējama tikai ar integrētu pieeju rīkiem, biznesa procesiem un cilvēkiem (dalībnieka lomām). Kurss sniedz zināšanas par visiem trim elementiem un sākotnēji tika izstrādāts, lai atbalstītu CI/CD rīku ķēdi un darbinieku transformācijas projektu. DevOps apstrādā pilnu DevSecOps praksi, izmantojot jaunākos automatizētos drošības rīkus.
Kursā tiks apskatīti šāda veida lietojumprogrammu drošības līdzekļi:
- Tradicionāli monolīti 2/3 līmeņu pielietojumi
- Kubernetes lietojumprogrammas - savā DC, publiskajā mākonī (EKS, AKS, GKE)
- Mobilās iOS un Android aplikācijas
- Lietojumprogrammas ar REST API aizmugursistēmu
Tiks apsvērta populārāko atvērtā koda un komerciālās informācijas drošības rīku integrācija un izmantošana.
Kursā akcentēta Scrum/Kanban prakse, taču pieejas un rīkus var izmantot arī tradicionālajā Waterfall projektu vadības modelī.
Zināšanas un prasmes, kuras jūs iegūsit
- Pāreja no "perimetra aizsardzības" drošības modeļa uz "visu slāņu aizsardzības" modeli
- Vārdnīca, termini un objekti, kas tiek izmantoti informācijas drošības rīkos - CWE, CVE, Exploit u.c.
- Pamatstandarti, metodes, informācijas avoti - OWASP, NIST, PCI DSS, CIS u.c.
Viņi arī iemācīsies integrēties CI/CD un izmantot informācijas drošības rīkus no šādām kategorijām:
- Iespējamo uzbrukumu analīze (draudu modelēšana)
- Statiskā pirmkoda analīze drošībai (SAST)
- Dinamiska lietojumprogrammu drošības analīze (IAST/DAST)
- trešās puses un atvērtā pirmkoda programmatūras (SCA) izmantošanas analīze.
- Konfigurācijas pārbaude, lai nodrošinātu atbilstību drošības standartiem (CIS, NIST utt.)
- Konfigurācijas sacietēšana, lāpīšana
- Noslēpumu un sertifikātu pārvaldības pielietošana
- Aizsardzības piemērošana REST-API mikropakalpojumu lietojumprogrammās un aizmugurē
- tīmekļa lietojumprogrammu ugunsmūra (WAF) lietojumprogramma
- Nākamās paaudzes ugunsmūri (NGFW)
- Manuāla un automatizēta iespiešanās pārbaude (iekļūšanas pārbaude)
- Drošības uzraudzība un reakcija uz notikumiem informācijas drošības jomā (SIEM)
- Kriminālistikas analīze
Turklāt komandu vadītāji saņems ieteikumus par praksēm veiksmīgai DevSecOps ieviešanai:
- Kā sagatavot un veiksmīgi vadīt mini konkursu un PoC instrumentu atlasei
- Kā mainīt attīstības, atbalsta, informācijas drošības komandu lomas, struktūru un atbildības jomas
- Kā pielāgot biznesa procesus produktu pārvaldībai, izstrādei, uzturēšanai, informācijas drošībai
Filips Ignatenko
2
protamsVairāk nekā 12 gadus strādājot IT jomā, man izdevās strādāt par izstrādātāju, testētāju, devops un devsecops inženieri tādos uzņēmumos kā NSPK (MIR kartes izstrādātājs), Kaspersky Lab, Sibur un Rostelecom. Šobrīd es...
Vairāk nekā 12 gadus strādājot IT jomā, man izdevās strādāt par izstrādātāju, testētāju, devops un devsecops inženieri tādos uzņēmumos kā NSPK (MIR kartes izstrādātājs), Kaspersky Lab, Sibur un Rostelecom. Šobrīd esmu Digital Energy (Rostelecom uzņēmumu grupa) drošas attīstības vadītājs. Mana praktiskā pieredze balstās uz valodu zināšanām C#, F#, dotnet kodolā, python, dažādu DevOps un DevSecOps prakses rīku izstrāde un integrācija (SAST/SCA, DAST/IAST, tīmekļa lietojumprogrammu skenēšana, infrastruktūras analīze, mobilā skenēšana lietojumprogrammas). Man ir liela pieredze k8s klasteru izvietošanā un atbalstīšanā, kā arī strādāju ar mākoņpakalpojumu sniedzējiem. Es veicu drošības auditus un izvietoju pakalpojumu tīklus. Esmu savu kursu autors par programmēšanu, testēšanu, relāciju un nerelāciju datu bāzēm, strādāju ar mākoņpakalpojumu sniedzējiem un administrēju tukša metāla serverus. Runātājs starptautiskās konferencēs.
Antons Lukašovs
1
labiInformācijas drošības analītiķis, Sovcombank
Pieredze informācijas drošībā kopš 2018. gada Specializācija: - Infrastruktūras drošības kontrole - Ievainojamības vadības procesu veidošana dažādām platformām (mikropakalpojumi un DevOps, resursdatora operētājsistēma, tīkla iekārtu OS, mobilais, DB, virtualizācija) - informācijas drošības politiku un prasību pārvaldība infrastruktūrā un projektos attīstību. Skolotājs
Daniils Nosenko
1
labiNo 2017. gada veic komerctīklu auditu. Piedalījies Ukrainas starpvalstu bankas "AT Oschadbank" drošības modeļa izstrādē Testēšanas galvenā iezīme ir pentests, izmantojot "melnās kastes" metodi. Darbs ar pitonu un krūmu kopš 2016...
No 2017. gada veic komerctīklu auditu. Piedalījies Ukrainas starpvalstu bankas "AT Oschadbank" drošības modeļa izstrādē. Galvenā testēšanas iezīme ir pentest, izmantojot "melnās kastes" metodi.Darbs ar python un bush kopš 2016. gada Pieredze darbā ar unix sistēmām, jo īpaši izplatīšanām, kuru pamatā ir Debian. Skolotājs
Informācijas drošības zināšanu bāze
-Tēma 1. Vārdnīca, termini, standarti, metodes, informācijas avoti, ko izmanto informācijas drošības rīkos
-2.tēma. Lietojumprogrammu steka un infrastruktūras informācijas drošības nodrošināšanas pamatprincipi
OWASP ievainojamības pārskats
-3. tēma. OWASP 10 populārāko tīmekļa ievainojamību analīze
-4. tēma. OWASP 10 populārāko ievainojamību analīze - REST API
Droša koda izstrādes un ietvaru izmantošanas iezīmes
-5. tēma. Droša izstrāde HTML/CSS un PHP
-6. tēma. Drošas izstrādes un programmatūras koda ievainojamības
-7. tēma. Droša izstrāde Java/Node.js
-8. tēma. Droša izstrāde .NET
-Tēma 9. Droša attīstība Ruby
Drošu konteineru un bezserveru lietojumprogrammu izstrāde
-Tēma 10. Drošības nodrošināšana Linux OS
-11.tēma. Drošības nodrošināšana Docker konteineros
-12.tēma. Kubernetes nodrošināšana
Integrācija un darbs ar informācijas drošības rīkiem pakalpojumā DevSecOps
-13.tēma. CI/CD rīku ķēdes un DevOps procesa drošības nodrošināšana
-14. tēma. DevSecOps rīku apskats
-15. tēma. Avota koda drošības analīze (SAST/DAST/IAST)
-16. tēma. REST-API aizsardzības izmantošana mikropakalpojumu lietojumprogrammās un aizmugurē.
- 17. tēma. Tīmekļa lietojumprogrammu ugunsmūra (WAF) izmantošana tīmekļa aizsardzībai, REST API, robotu aizsardzība.
-18. tēma. Mūsdienu tīkla perimetra drošības rīki (NGFW/Sandbox)
-Tēma 19. Draudu modelēšana un iespiešanās pārbaude
-20. tēma. Drošības uzraudzība un reaģēšana uz notikumiem informācijas drošības jomā (SIEM/SOAR)
-21.tēma. Projekta plāns un metodoloģija organizācijas pārveidošanai par DevSecOps.
Projekta modulis
-22. tēma. Motīva izvēle
-23.tēma. Projekta darba konsultācijas un diskusijas
-24.tēma.Projektu aizsardzība
Abonēt
YOU MIGHT ALSO LIKE
