DevSecOps [GeekBrains]

DevSecOps-инженер помогает разработчикам создать безопасное ПО.
Находит и устраняет уязвимости до релиза, внедряет средства защиты и автоматизирует процессы.
Компании ценят таких специалистов: они заботятся о качестве продукта, снижая риски репутационных и финансовых потерь.

Кому подойдет курс:

a) DevOps-инженерам
Поможем освоить практики DevSecOps и кибербезопасности. Подскажем, как перейти в перспективное направление и зарабатывать больше.

b) Специалистам по кибербезопасности
Получите опыт применения DevSecOps и проведения аудита по безопасности. Сможете внедрить методологию в работу.

c) Разработчикам
Научитесь использовать DevSecOps в процессах разработки. Сможете находить уязвимости и создавать более безопасный продукт.

Станьте специалистом по DevSecOps:
- Вы получите максимум пользы от курса, если владеете Linux, методиками DevOps, базовыми навыками программирования и знаниями ИБ, OWASP.

- Одна из первых образовательных программ в России по методологиям DevSecOps. Вы освоите передовые технологии и компетенции, востребованные IT-компаниями международного уровня.

Технологии, которые вы освоите:

- Kubernetes;
- HashiCorp (Vault, Terraform);
- GitLab;
- OpenVAS;
- Lynis;
- CIS Benchmark;
- SAST\DAST;
- Graylog;
- Grafana;
- TruffleHog;
- OWASP Zap;
- Ansible.

Спойлер: Программа обучения

1. Методики DevOps и DevSecOps. Вводный курс.
Изучите методики DevSecOps и узнаете, в чём их отличие от DevOps. Выполните практическую работу с GitLab CI\CD, первым конвейером непрерывной интеграции.

Навыки по итогам курса:

• Методики DevOps
• Подходы интеграции безопасности в DevOps (shifting left on security)
• Основные инструменты CI\CD: GitLab, Jenkins, CircleCI, GitHub Action
• Практическая работа с GitLab CI\CD. Первый конвейер непрерывной интеграции, доставки и первое развернутое приложение

2. Инфраструктура как код (IaC). Инструменты DevSecOps
Познакомитесь с понятиями IaC, AaC, облачными провайдерами Mail Cloud Solutions, AWS, GCP и системой оркестрации контейнерами Kubernetes.

Навыки по итогам курса:

• Знание терминов и подходов IaC\AaC, Dev\Test\Prod
• Облачные провайдеры Mail Cloud Solutions, AWS, GCP. Регистрация, создание первых серверов (инстансов), настройка и тонкости работы
• Ansible: схема внедрения, playbooks, синтаксис YAML
• Система оркестрации контейнерами Kubernetes: схема внедрения, возможности интеграции с GitLab, внутреннее устройство
• Terraform: схема внедрения, принципы работы

3. Методика анализа компонент Pipeline CI\CD
Рассмотрите методику анализа open-source компонент (SCA, OWASP Component Analysis, C-SCRM) и примените методику на разработанном CI\CD pipeline.

Навыки по итогам курса:

• Методики анализа компонентного/стороннего и открытого ПО (SCA,OWASP Component Analysis, C-SCRM)
• Инструменты SCA: Dependency Check, Dependency Track, Snyk Open-source, Vulners
• Инструменты для поиска секретов в репозиториях: git-secrets, Gitrob, TruffleHog, Gitleaks

4. Безопасность и харденинг контейнерных сред и Linux
Просканируете на наличие слабых мест контейнеры и Linux-машины, подберёте оптимальный набор защитных мер.

Навыки по итогам курса:

• CIS Benchmark: подходы к усилению защиты Docker/Linux/Kubernetes
• Инструменты:Clair, Lynis, Lunar, OpenVAS, OpenSCAP
• Базовые подходы к обеспечению безопасности: контроль обновлений ОС, надёжные пароли, авторизация по ключу, встроенный межсетевой экран, удаление лишних и неиспользуемых программ, резервное копирование, принцип минимальных привилегий
• Расширенные подходы к обеспечению безопасности: SELinux, AppArmor, Seccomp, PAM (подключаемые модули аутентификации), применение TLS, периодический аудит безопасности
• Безопасность Docker: ограничение пользователя в правах (non-root), ограниченное выделение ресурсов, сканирование образов Docker
• Безопасность Kubernetes: включение ролевой модели доступа, контроль трафика между экземплярами приложений, аудит внутри кластера, разделение приложение по пространствам имён (namespaces)

5. Управление секретами
Узнаете, как правильно хранить, получать доступ и развёртывать секреты в приложениях, системах и инфраструктуре. Как обеспечивать безопасность данных приложения с помощью одного централизованного процесса для шифрования данных.

Навыки по итогам курса:

• Типы секретов: логин/пароль, SSH-ключи, TLS сертификаты, API-tokens
• Подходы к управлению секретами
• Хранилища секретов (vaults): hashicorp vault, AWS KMS, встроенные хранилища
• Venafi, инструмент управления идентификационными данными M2M

6. Введение в статический и динамический анализ кода SAST\DAST. Поиск и устранение уязвимостей
Изучите основы статического и динамического анализа кода. Поработаете с инструментами SonarQube, OWASP Zap\Burp Suite и займётесь поиском и устранением найденных уязвимостей.

Навыки по итогам курса:

• Подход Secure SDLC: основные ошибки, допускаемые при написании приложений на популярных языках программирования, методы безопасной разработки
• Методологии тестирования защищённости: Open Source Security Testing, Methodology Manual (OSSTMM), Information Systems Security Assessment, Framework (ISSAF), NIST 800-42 Guideline on Network Security Testing, OWASP Testing Guide
• Основные уязвимости по OWASP Top-10 (Web, Rest API, Mobile, IoT)
• SAST-инструменты: GitLab SAST, SonarQube, ShiftLeft Scan
• DAST-инструменты: OWASP Zap\Burp Suite
• Сканеры образов Docker: Anchore, Trivy

Продажник: Скрытая ссылка