Implementacija in delo v DevSecOps - tečaj 88.000 rub. iz Otusa, usposabljanje 5 mesecev, datum 30. oktober 2023.
Miscellanea / / November 30, 2023
Danes se nenehno soočamo s hekerskimi napadi, e-poštnimi goljufijami in uhajanjem podatkov. Spletno delo je postalo poslovna zahteva in nova realnost. Razvoj in vzdrževanje kode ter zaščita infrastrukture ob upoštevanju varnosti postaja najpomembnejša zahteva za strokovnjake za IT. Prav ti strokovnjaki so najbolj plačani in povpraševani med velikimi delodajalci: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank in drugi.
Komu je ta tečaj namenjen?
Razvoj infrastrukture in aplikacijskih skladov v neprekinjenem toku sprememb Agile DevOps zahteva nenehno delo z orodji za informacijsko varnost. Tradicionalni varnostni model, osredotočen na perimeter, ne deluje več. V DevOps odgovornost za varnost nosijo vsi udeleženci v procesu Dev[Sec]Ops.
Tečaj je namenjen specialistom naslednjih profilov:
- Razvijalci
- DevOps inženirji in skrbniki
- Testerji
- Arhitekti
- Strokovnjaki za informacijsko varnost
- Strokovnjaki, ki se želijo naučiti razvijati in vzdrževati aplikacije in infrastrukturo z visoko stopnjo zaščite pred zunanjimi in notranjimi napadi v avtomatiziranem procesu DevSecOps.
Namen tečaja
Uspešna implementacija DevSecOps je mogoča le z integriranim pristopom do orodij, poslovnih procesov in ljudi (vloge udeležencev). Tečaj zagotavlja znanje o vseh treh elementih in je bil prvotno razvit za podporo verigi orodij CI/CD in projektu transformacije delavcev Proces DevOps do popolne prakse DevSecOps z uporabo najnovejših avtomatiziranih varnostnih orodij.
Tečaj bo zajemal varnostne funkcije naslednjih vrst aplikacij:
- Tradicionalne monolitne 2/3-nivojske aplikacije
- Aplikacije Kubernetes - v lastnem DC, Public Cloud (EKS, AKS, GKE)
- Mobilne aplikacije za iOS in Android
- Aplikacije z zaledjem REST API
Obravnavana bo integracija in uporaba najbolj priljubljenih odprtokodnih in komercialnih orodij za varnost informacij.
Tečaj poudarja prakse Scrum/Kanban, vendar se pristopi in orodja lahko uporabljajo tudi v tradicionalnem modelu vodenja projektov Waterfall.
Znanja in veščine, ki jih boste pridobili
- Prehod z varovalnega modela »obrobna zaščita« na model »zaščita vseh slojev«.
- Slovar, izrazi in predmeti, ki se uporabljajo v orodjih za informacijsko varnost - CWE, CVE, Exploit itd.
- Osnovni standardi, metode, viri informacij - OWASP, NIST, PCI DSS, CIS itd.
Naučili se bodo tudi, kako se integrirati v CI/CD in uporabljati orodja za informacijsko varnost iz naslednjih kategorij:
- Analiza možnih napadov (Threat Modeling)
- Statična analiza izvorne kode za varnost (SAST)
- Dinamična varnostna analiza aplikacij (IAST/DAST)
- Analiza uporabe zunanje in odprtokodne programske opreme (SCA)
- Testiranje skladnosti konfiguracije z varnostnimi standardi (CIS, NIST itd.)
- Utrjevanje konfiguracije, popravki
- Aplikacija za upravljanje skrivnosti in potrdil
- Uporaba zaščite za REST-API znotraj aplikacij mikrostoritev in na zadnji strani
- Uporaba požarnega zidu spletnih aplikacij (WAF)
- Požarni zidovi naslednje generacije (NGFW)
- Ročno in avtomatsko testiranje penetracije (Penetration Testing)
- Varnostni nadzor in odziv na dogodke v informacijski varnosti (SIEM)
- Forenzična analiza
Poleg tega bodo vodje skupin prejeli priporočila o praksah za uspešno implementacijo DevSecOps:
- Kako pripraviti in uspešno izvesti mini razpis in PoC za izbor orodij
- Kako spremeniti vloge, strukturo in področja odgovornosti timov za razvoj, podporo, informacijsko varnost
- Kako prilagoditi poslovne procese produktnega upravljanja, razvoja, vzdrževanja, informacijske varnosti
2
sevedaV 12 letih dela v IT mi je uspelo delati kot razvijalec, tester, devops in devsecops inženir v podjetjih, kot so NSPK (razvijalec kartice MIR), Kaspersky Lab, Sibur in Rostelecom. Trenutno sem...
V 12 letih dela v IT mi je uspelo delati kot razvijalec, tester, devops in devsecops inženir v podjetjih, kot so NSPK (razvijalec kartice MIR), Kaspersky Lab, Sibur in Rostelecom. Trenutno sem vodja varnega razvoja pri Digital Energy (skupina podjetij Rostelecom).Moje praktične izkušnje temeljijo na poznavanju jezikov C#, F#, dotnet core, python, razvoj in integracija različnih orodij za prakso DevOps in DevSecOps (SAST/SCA, DAST/IAST, skeniranje spletnih aplikacij, analiza infrastrukture, mobilno skeniranje aplikacije). Imam bogate izkušnje z uvajanjem in podporo gruč k8s ter sodelujem s ponudniki oblakov. Izvajam varnostne revizije in nameščam storitvena omrežja. Sem avtor lastnih tečajev programiranja, testiranja, relacijskih in nerelacijskih baz podatkov, dela s ponudniki oblakov in administriranja golih strežnikov. Predavatelj na mednarodnih konferencah.
1
dobroAnalitik za informacijsko varnost, Sovcombank
Izkušnje na področju informacijske varnosti od leta 2018 Specializacija: - Nadzor varnosti infrastrukture - Gradnja procesov upravljanja ranljivosti za različne platforme (mikrostoritve in DevOps, gostiteljski OS, omrežna oprema OS, mobilni, DB, virtualizacija) - Upravljanje informacijske varnostne politike in zahtev znotraj infrastrukture in projektov razvoj. učiteljica
1
dobroOd leta 2017 se ukvarja z revizijo komercialnih omrežij. Sodeloval pri razvoju varnostnega modela za meddržavno banko Ukrajine "AT Oschadbank" Glavna značilnost testiranja je pentest z uporabo metode "črne škatle". Delo s pythonom in bushom od leta 2016...
Od leta 2017 se ukvarja z revizijo komercialnih omrežij. Sodeloval pri razvoju varnostnega modela za meddržavno banko Ukrajine "AT Oschadbank". Glavna značilnost testiranja je pentest z uporabo metode "črne skrinjice" Delo s pythonom in bushom od leta 2016 Izkušnje pri delu z unix sistemi, zlasti distribucijami, ki temeljijo na Debian. učiteljica
Baza znanja o informacijski varnosti
-Tema 1. Slovar, izrazi, standardi, metode, viri informacij, ki se uporabljajo v orodjih za informacijsko varnost
-Tema 2. Osnovni principi zagotavljanja informacijske varnosti aplikacijskega sklada in infrastrukture
Pregled ranljivosti OWASP
-Tema 3. Analiza 10 najboljših spletnih ranljivosti OWASP
-Tema 4. Analiza OWASP Top 10 ranljivosti - REST API
Značilnosti razvoja varne kode in uporabe ogrodij
-Tema 5. Varen razvoj v HTML/CSS in PHP
-Tema 6. Varen razvoj in ranljivosti programske kode
-Tema 7. Varen razvoj v Java/Node.js
-Tema 8. Varen razvoj v .NET
-Tema 9. Varen razvoj v Rubyju
Razvoj varnih kontejnerskih in brezstrežniških aplikacij
-Tema 10. Zagotavljanje varnosti v OS Linux
-Tema 11. Zagotavljanje varnosti v Docker kontejnerjih
-Tema 12. Zaščita Kubernetesa
Integracija in delo z orodji za informacijsko varnost znotraj DevSecOps
-Tema 13. Zagotavljanje varnosti CI/CD toolchain in DevOps procesa
-Tema 14. Pregled orodij DevSecOps
-Tema 15. Varnostna analiza izvorne kode (SAST/DAST/IAST)
-Tema 16. Uporaba zaščite za REST-API v aplikacijah mikro storitev in na zadnji strani.
-Tema 17. Uporaba požarnega zidu spletnih aplikacij (WAF) za spletno zaščito, REST API, zaščita pred roboti.
-Tema 18. Sodobna orodja za zaščito perimetra omrežja (NGFW/Sandbox)
-Tema 19. Modeliranje groženj in penetracijsko testiranje
-Tema 20. Varnostni nadzor in odziv na dogodke v informacijski varnosti (SIEM/SOAR)
-Tema 21. Projektni načrt in metodologija za transformacijo organizacije v DevSecOps.
Projektni modul
-Tema 22. Izbira teme
-Tema 23. Posvetovanja in razprave projektnega dela
-Tema 24. Zaščita projektov