DevSecOps [GeekBrains]

[admin]

DevSecOps-инженер помогает разработчикам создать безопасное ПО. Находит и устраняет уязвимости до релиза, внедряет средства защиты и автоматизирует процессы. Компании ценят таких специалистов: они заботятся о качестве продукта, снижая риски репутационных и финансовых потерь. Кому подойдет курс: a) DevOps-инженерам Поможем освоить практики DevSecOps и кибербезопасности. Подскажем, как перейти в перспективное направление и зарабатывать больше. b) Специалистам по кибербезопасности Получите опыт применения DevSecOps и проведения аудита по безопасности. Сможете внедрить методологию в работу. c) Разработчикам Научитесь использовать DevSecOps в процессах разработки. Сможете находить уязвимости и создавать более безопасный продукт. Станьте специалистом по DevSecOps: - Вы получите максимум пользы от курса, если владеете Linux, методиками DevOps, базовыми навыками программирования и знаниями ИБ, OWASP. - Одна из первых образовательных программ в России по методологиям DevSecOps. Вы освоите передовые технологии и компетенции, востребованные IT-компаниями международного уровня. Технологии, которые вы освоите: - Kubernetes, - HashiCorp (Vault, Terraform), - GitLab, - OpenVAS, - Lynis, - CIS Benchmark, - SAST\DAST, - Graylog, - Grafana, - TruffleHog, - OWASP Zap, - Ansible. Программа обучения 1. Методики DevOps и DevSecOps. Вводный курс. Изучите методики DevSecOps и узнаете, в чём их отличие от DevOps. Выполните практическую работу с GitLab CI\CD, первым конвейером непрерывной интеграции. Навыки по итогам курса: Методики DevOps Подходы интеграции безопасности в DevOps (shifting left on security) Основные инструменты CI\CD: GitLab, Jenkins, CircleCI, GitHub Action Практическая работа с GitLab CI\CD. Первый конвейер непрерывной интеграции, доставки и первое развернутое приложение 2. Инфраструктура как код (IaC). Инструменты DevSecOps Познакомитесь с понятиями IaC, AaC, облачными провайдерами Mail Cloud Solutions, AWS, GCP и системой оркестрации контейнерами Kubernetes. Навыки по итогам курса: Знание терминов и подходов IaC\AaC, Dev\Test\Prod Облачные провайдеры Mail Cloud Solutions, AWS, GCP. Регистрация, создание первых серверов (инстансов), настройка и тонкости работы Ansible: схема внедрения, playbooks, синтаксис YAML Система оркестрации контейнерами Kubernetes: схема внедрения, возможности интеграции с GitLab, внутреннее устройство Terraform: схема внедрения, принципы работы 3. Методика анализа компонент Pipeline CI\CD Рассмотрите методику анализа open-source компонент (SCA, OWASP Component Analysis, C-SCRM) и примените методику на разработанном CI\CD pipeline. Навыки по итогам курса: Методики анализа компонентного/стороннего и открытого ПО (SCA,OWASP Component Analysis, C-SCRM) Инструменты SCA: Dependency Check, Dependency Track, Snyk Open-source, Vulners Инструменты для поиска секретов в репозиториях: git-secrets, Gitrob, TruffleHog, Gitleaks 4. Безопасность и харденинг контейнерных сред и Linux Просканируете на наличие слабых мест контейнеры и Linux-машины, подберёте оптимальный набор защитных мер. Навыки по итогам курса: CIS Benchmark: подходы к усилению защиты Docker/Linux/Kubernetes Инструменты:Clair, Lynis, Lunar, OpenVAS, OpenSCAP Базовые подходы к обеспечению безопасности: контроль обновлений ОС, надёжные пароли, авторизация по ключу, встроенный межсетевой экран, удаление лишних и неиспользуемых программ, резервное копирование, принцип минимальных привилегий Расширенные подходы к обеспечению безопасности: SELinux, AppArmor, Seccomp, PAM (подключаемые модули аутентификации), применение TLS, периодический аудит безопасности Безопасность Docker: ограничение пользователя в правах (non-root), ограниченное выделение ресурсов, сканирование образов Docker Безопасность Kubernetes: включение ролевой модели доступа, контроль трафика между экземплярами приложений, аудит внутри кластера, разделение приложение по пространствам имён (namespaces) 5. Управление секретами Узнаете, как правильно хранить, получать доступ и развёртывать секреты в приложениях, системах и инфраструктуре. Как обеспечивать безопасность данных приложения с помощью одного централизованного процесса для шифрования данных. Навыки по итогам курса: Типы секретов: логин/пароль, SSH-ключи, TLS сертификаты, API-tokens Подходы к управлению секретами Хранилища секретов (vaults): hashicorp vault, AWS KMS, встроенные хранилища Venafi, инструмент управления идентификационными данными M2M 6. Введение в статический и динамический анализ кода SAST\DAST. Поиск и устранение уязвимостей Изучите основы статического и динамического анализа кода. Поработаете с инструментами SonarQube, OWASP Zap\Burp Suite и займётесь поиском и устранением найденных уязвимостей. Навыки по итогам курса: Подход Secure SDLC: основные ошибки, допускаемые при написании приложений на популярных языках программирования, методы безопасной разработки Методологии тестирования защищённости: Open Source Security Testing, Methodology Manual (OSSTMM), Information Systems Security Assessment, Framework (ISSAF), NIST 800-42 Guideline on Network Security Testing, OWASP Testing Guide Основные уязвимости по OWASP Top-10 (Web, Rest API, Mobile, IoT) SAST-инструменты: GitLab SAST, SonarQube, ShiftLeft Scan DAST-инструменты: OWASP Zap\Burp Suite Сканеры образов Docker: Anchore, Trivy Продажник: new.geekbrains.ru/devsecops