Implementering og arbejde i DevSecOps - kursus 88.000 rub. fra Otus, træning 5 måneder, Dato 30. oktober 2023.
Miscellanea / / November 30, 2023
I dag står vi konstant over for hackerangreb, e-mailsvindel og datalæk. Online arbejde er blevet et forretningskrav og en ny realitet. Udvikling og vedligeholdelse af kode og beskyttelse af infrastruktur med sikkerhed i tankerne er ved at blive et altafgørende krav for it-specialister. Det er disse specialister, der er de højest betalte og efterspurgte blandt store arbejdsgivere: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank og andre.
Hvem er dette kursus for?
Udvikling af infrastruktur og applikationsstakke i det kontinuerlige flow af Agile DevOps-ændringer kræver kontinuerligt arbejde med informationssikkerhedsværktøjer. Den traditionelle perimeterfokuserede sikkerhedsmodel virker ikke længere. I DevOps påhviler ansvaret for sikkerheden alle deltagere i Dev[Sec]Ops-processen.
Kurset henvender sig til specialister inden for følgende profiler:
- Udviklere
- DevOps ingeniører og administratorer
- Testere
- Arkitekter
- Informationssikkerhedsspecialister
- Specialister, der ønsker at lære at udvikle og vedligeholde applikationer og infrastruktur med en høj grad af beskyttelse mod eksterne og interne angreb i en automatiseret DevSecOps-proces.
Formål med kurset
Succesfuld implementering af DevSecOps er kun mulig med en integreret tilgang til værktøjer, forretningsprocesser og mennesker (deltagerroller). Kurset giver viden om alle tre elementer og blev oprindeligt udviklet til at understøtte CI/CD-værktøjskæden og arbejdertransformationsprojektet DevOps-processen til en fuld DevSecOps-praksis ved hjælp af de nyeste automatiserede sikkerhedsværktøjer.
Kurset vil dække sikkerhedsfunktionerne for følgende typer applikationer:
- Traditionelle monolitiske 2/3-lags applikationer
- Kubernetes-applikationer - i din egen DC, Public Cloud (EKS, AKS, GKE)
- Mobile iOS og Android applikationer
- Applikationer med REST API back-end
Integrationen og brugen af de mest populære open source og kommercielle informationssikkerhedsværktøjer vil blive overvejet.
Kurset lægger vægt på Scrum/Kanban-praksis, men tilgangene og værktøjerne kan også bruges i den traditionelle Waterfall-projektstyringsmodel.
Viden og færdigheder vil du tilegne dig
- Overgang fra sikkerhedsmodellen "perimeterbeskyttelse" til modellen "beskyttelse af alle lag".
- Ordbog, termer og objekter brugt i informationssikkerhedsværktøjer - CWE, CVE, Exploit osv.
- Grundlæggende standarder, metoder, informationskilder - OWASP, NIST, PCI DSS, CIS osv.
De vil også lære at integrere i CI/CD og bruge informationssikkerhedsværktøjer fra følgende kategorier:
- Analyse af mulige angreb (Threat Modeling)
- Statisk analyse af kildekode til sikkerhed (SAST)
- Dynamisk applikationssikkerhedsanalyse (IAST/DAST)
- Analyse af brugen af tredjeparts- og open source-software (SCA)
- Test af konfigurationen for overholdelse af sikkerhedsstandarder (CIS, NIST osv.)
- Konfigurationshærdning, patching
- Anvendelse af hemmeligheder og certifikathåndtering
- Anvendelse af beskyttelse til REST-API inde i mikroserviceapplikationer og på back-end
- Anvendelse af Web-Application Firewall (WAF)
- Næste generation af firewalls (NGFW)
- Manuel og automatiseret penetrationstest (penetrationstest)
- Sikkerhedsovervågning og reaktion på hændelser inden for informationssikkerhed (SIEM)
- Retsmedicinsk analyse
Derudover vil teamledere modtage anbefalinger om praksis for succesfuld implementering af DevSecOps:
- Hvordan man forbereder og gennemfører et miniudbud og PoC for valg af værktøjer
- Hvordan man ændrer roller, struktur og ansvarsområder for udviklings-, support-, informationssikkerhedsteams
- Hvordan man tilpasser forretningsprocesser for produktstyring, udvikling, vedligeholdelse, informationssikkerhed
2
RuteOver 12 års arbejde inden for IT nåede jeg at arbejde som udvikler, tester, devops og devsecops ingeniør i virksomheder som NSPK (udvikler af MIR-kortet), Kaspersky Lab, Sibur og Rostelecom. I øjeblikket...
Over 12 års arbejde inden for IT nåede jeg at arbejde som udvikler, tester, devops og devsecops ingeniør i virksomheder som NSPK (udvikler af MIR-kortet), Kaspersky Lab, Sibur og Rostelecom. I øjeblikket er jeg leder af sikker udvikling hos Digital Energy (Rostelecom group of company) Min praktiske erfaring er baseret på kendskab til sprogene C#, F#, dotnet core, python, udvikling og integration af forskellige DevOps og DevSecOps praksisværktøjer (SAST/SCA, DAST/IAST, webapplikationsscanning, infrastrukturanalyse, mobilscanning applikationer). Jeg har stor erfaring med at implementere og understøtte k8s-klynger og arbejder med cloud-udbydere. Jeg udfører sikkerhedsrevisioner og implementerer servicemasker. Jeg er forfatter til mine egne kurser om programmering, test, relationelle og ikke-relationelle databaser, arbejde med cloud-udbydere og administration af bare-metal-servere. Foredragsholder ved internationale konferencer.
1
godtInformationssikkerhedsanalytiker, Sovcombank
Erfaring med informationssikkerhed siden 2018 Specialisering: - Infrastruktursikkerhedskontrol - Opbygning af sårbarhedshåndteringsprocesser til forskellige platforme (mikrotjenester og DevOps, Host OS, netværksudstyr OS, Mobil, DB, Virtualisering) - Håndtering af informationssikkerhedspolitikker og krav indenfor infrastruktur og projekter udvikling. Lærer
1
godtHar revideret kommercielle netværk siden 2017. Deltog i udviklingen af en sikkerhedsmodel for Ukraines mellemstatslige bank "AT Oschadbank" Hovedtrækket ved test er pentest ved hjælp af "black box"-metoden. Arbejder med python og bush siden 2016...
Har revideret kommercielle netværk siden 2017. Deltog i udviklingen af en sikkerhedsmodel for den interstate bank i Ukraine "AT Oschadbank"Hovedtrækket ved test er pentest ved hjælp af "black box"-metoden Arbejder med python og bush siden 2016. Erfaring med at arbejde med unix-systemer, især distributioner baseret på Debian. Lærer
Informationssikkerhed videnbase
-Emne 1. Ordbog, termer, standarder, metoder, informationskilder brugt i informationssikkerhedsværktøjer
-Emne 2. Grundlæggende principper for sikring af informationssikkerhed for applikationsstakken og infrastrukturen
OWASP sårbarhedsoversigt
-Emne 3. Analyse af OWASP Top 10 Web sårbarheder
-Emne 4. Analyse af OWASP Top 10 sårbarheder - REST API
Funktioner ved at udvikle sikker kode og bruge rammer
-Emne 5. Sikker udvikling i HTML/CSS og PHP
-Emne 6. Sikker udvikling og sårbarheder i softwarekode
-Emne 7. Sikker udvikling i Java/Node.js
-Emne 8. Sikker udvikling i .NET
-Emne 9. Sikker udvikling i Ruby
Udvikling af sikre container- og serverløse applikationer
-Emne 10. Sikring af sikkerhed i Linux OS
-Emne 11. Sikring af sikkerhed i Docker-containere
-Emne 12. Sikring af Kubernetes
Integration og arbejde med informationssikkerhedsværktøjer inden for DevSecOps
-Emne 13. Sikring af sikkerheden i CI/CD-værktøjskæden og DevOps-processen
-Emne 14. Gennemgang af DevSecOps værktøjer
-Emne 15. Sikkerhedsanalyse af kildekode (SAST/DAST/IAST)
-Emne 16.Brug af beskyttelse til REST-API i mikroserviceapplikationer og på back-end.
-Emne 17.Brug af Web-Application Firewall (WAF) til webbeskyttelse, REST API, Bot-beskyttelse.
-Emne 18.Moderne netværks perimeter sikkerhedsværktøjer (NGFW/Sandbox)
-Emne 19. Trusselsmodellering og penetrationstest
-Emne 20. Sikkerhedsovervågning og reaktion på hændelser inden for informationssikkerhed (SIEM/SOAR)
-Emne 21. Projektplan og metode til at transformere en organisation til DevSecOps.
Projektmodul
-Tema 22.Valg af et tema
-Emne 23. Konsultationer og diskussioner af projektarbejde
-Emne 24.Beskyttelse af projekter