Что нового

Бесплатные online курсы, скачать сливы курсов - kursy.live

Слив курсов - это быстрый и доступный способ получить дополнительные зания или ознакомиться с курсом, до его покупки.

Оперативная поддержка

Не активна ссылка? Обновляем неактивные ссылки в течении считанных минут.

Постоянное обновление

Ежедневно добавляем по 10-20 свежайших сливов. Не пропусти.

Гибкие тарифы

Можете скачать один курс или получить не ограниченный доступ ко всем курсам.

DevSecOps [GeekBrains]

admin

Administrator
Команда форума
СУПЕР МОДЕРАТОР
Регистрация
26.05.2022
Сообщения
26 731
Реакции
160
Баллы
63
DevSecOps-инженер помогает разработчикам создать безопасное ПО.
Находит и устраняет уязвимости до релиза, внедряет средства защиты и автоматизирует процессы.
Компании ценят таких специалистов: они заботятся о качестве продукта, снижая риски репутационных и финансовых потерь.

Кому подойдет курс:

a) DevOps-инженерам
Поможем освоить практики DevSecOps и кибербезопасности. Подскажем, как перейти в перспективное направление и зарабатывать больше.

b) Специалистам по кибербезопасности
Получите опыт применения DevSecOps и проведения аудита по безопасности. Сможете внедрить методологию в работу.

c) Разработчикам
Научитесь использовать DevSecOps в процессах разработки. Сможете находить уязвимости и создавать более безопасный продукт.

Станьте специалистом по DevSecOps:
- Вы получите максимум пользы от курса, если владеете Linux, методиками DevOps, базовыми навыками программирования и знаниями ИБ, OWASP.

- Одна из первых образовательных программ в России по методологиям DevSecOps. Вы освоите передовые технологии и компетенции, востребованные IT-компаниями международного уровня.

Технологии, которые вы освоите:

- Kubernetes,
- HashiCorp (Vault, Terraform),
- GitLab,
- OpenVAS,
- Lynis,
- CIS Benchmark,
- SAST\DAST,
- Graylog,
- Grafana,
- TruffleHog,
- OWASP Zap,
- Ansible.





Программа обучения
1. Методики DevOps и DevSecOps. Вводный курс.
Изучите методики DevSecOps и узнаете, в чём их отличие от DevOps. Выполните практическую работу с GitLab CI\CD, первым конвейером непрерывной интеграции.

Навыки по итогам курса:

Методики DevOps
Подходы интеграции безопасности в DevOps (shifting left on security)
Основные инструменты CI\CD: GitLab, Jenkins, CircleCI, GitHub Action
Практическая работа с GitLab CI\CD. Первый конвейер непрерывной интеграции, доставки и первое развернутое приложение
2. Инфраструктура как код (IaC). Инструменты DevSecOps
Познакомитесь с понятиями IaC, AaC, облачными провайдерами Mail Cloud Solutions, AWS, GCP и системой оркестрации контейнерами Kubernetes.

Навыки по итогам курса:

Знание терминов и подходов IaC\AaC, Dev\Test\Prod
Облачные провайдеры Mail Cloud Solutions, AWS, GCP. Регистрация, создание первых серверов (инстансов), настройка и тонкости работы
Ansible: схема внедрения, playbooks, синтаксис YAML
Система оркестрации контейнерами Kubernetes: схема внедрения, возможности интеграции с GitLab, внутреннее устройство
Terraform: схема внедрения, принципы работы
3. Методика анализа компонент Pipeline CI\CD
Рассмотрите методику анализа open-source компонент (SCA, OWASP Component Analysis, C-SCRM) и примените методику на разработанном CI\CD pipeline.

Навыки по итогам курса:

Методики анализа компонентного/стороннего и открытого ПО (SCA,OWASP Component Analysis, C-SCRM)
Инструменты SCA: Dependency Check, Dependency Track, Snyk Open-source, Vulners
Инструменты для поиска секретов в репозиториях: git-secrets, Gitrob, TruffleHog, Gitleaks
4. Безопасность и харденинг контейнерных сред и Linux
Просканируете на наличие слабых мест контейнеры и Linux-машины, подберёте оптимальный набор защитных мер.

Навыки по итогам курса:

CIS Benchmark: подходы к усилению защиты Docker/Linux/Kubernetes
Инструменты:Clair, Lynis, Lunar, OpenVAS, OpenSCAP
Базовые подходы к обеспечению безопасности: контроль обновлений ОС, надёжные пароли, авторизация по ключу, встроенный межсетевой экран, удаление лишних и неиспользуемых программ, резервное копирование, принцип минимальных привилегий
Расширенные подходы к обеспечению безопасности: SELinux, AppArmor, Seccomp, PAM (подключаемые модули аутентификации), применение TLS, периодический аудит безопасности
Безопасность Docker: ограничение пользователя в правах (non-root), ограниченное выделение ресурсов, сканирование образов Docker
Безопасность Kubernetes: включение ролевой модели доступа, контроль трафика между экземплярами приложений, аудит внутри кластера, разделение приложение по пространствам имён (namespaces)
5. Управление секретами
Узнаете, как правильно хранить, получать доступ и развёртывать секреты в приложениях, системах и инфраструктуре. Как обеспечивать безопасность данных приложения с помощью одного централизованного процесса для шифрования данных.

Навыки по итогам курса:

Типы секретов: логин/пароль, SSH-ключи, TLS сертификаты, API-tokens
Подходы к управлению секретами
Хранилища секретов (vaults): hashicorp vault, AWS KMS, встроенные хранилища
Venafi, инструмент управления идентификационными данными M2M
6. Введение в статический и динамический анализ кода SAST\DAST. Поиск и устранение уязвимостей
Изучите основы статического и динамического анализа кода. Поработаете с инструментами SonarQube, OWASP Zap\Burp Suite и займётесь поиском и устранением найденных уязвимостей.

Навыки по итогам курса:

Подход Secure SDLC: основные ошибки, допускаемые при написании приложений на популярных языках программирования, методы безопасной разработки
Методологии тестирования защищённости: Open Source Security Testing, Methodology Manual (OSSTMM), Information Systems Security Assessment, Framework (ISSAF), NIST 800-42 Guideline on Network Security Testing, OWASP Testing Guide
Основные уязвимости по OWASP Top-10 (Web, Rest API, Mobile, IoT)
SAST-инструменты: GitLab SAST, SonarQube, ShiftLeft Scan
DAST-инструменты: OWASP Zap\Burp Suite
Сканеры образов Docker: Anchore, Trivy


Продажник: new.geekbrains.ru/devsecops
 
Прием платежей для сайтов
Верх