Implementacija i rad u DevSecOps - tečaj 88 000 rub. iz Otusa, obuka 5 mjeseci, Datum 30.10.2023.
Miscelanea / / November 30, 2023
Danas smo stalno suočeni s hakerskim napadima, prijevarama putem e-pošte i curenjem podataka. Internetski rad postao je poslovni zahtjev i nova stvarnost. Razvoj i održavanje koda i zaštita infrastrukture imajući na umu sigurnost postaje najvažniji zahtjev za IT stručnjake. Upravo su ti stručnjaci najplaćeniji i traženi među velikim poslodavcima: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank i drugi.
Za koga je ovaj tečaj?
Razvoj infrastrukture i skupova aplikacija u kontinuiranom tijeku Agile DevOps promjena zahtijeva kontinuirani rad s alatima za informacijsku sigurnost. Tradicionalni sigurnosni model usmjeren na perimetar više ne funkcionira. U DevOps-u odgovornost za sigurnost pada na sve sudionike u Dev[Sec]Ops procesu.
Tečaj je namijenjen stručnjacima sljedećih profila:
- Programeri
- DevOps inženjeri i administratori
- Testeri
- Arhitekti
- Stručnjaci za informacijsku sigurnost
- Stručnjaci koji žele naučiti razvijati i održavati aplikacije i infrastrukturu s visokim stupnjem zaštite od vanjskih i unutarnjih napada u automatiziranom DevSecOps procesu.
Svrha tečaja
Uspješna implementacija DevSecOps-a moguća je samo uz integrirani pristup alatima, poslovnim procesima i ljudima (uloge sudionika). Tečaj pruža znanje o sva tri elementa i izvorno je razvijen za podršku CI/CD lancu alata i projektu transformacije radnika DevOps proces do pune DevSecOps prakse koristeći najnovije automatizirane sigurnosne alate.
Tečaj će pokriti sigurnosne značajke sljedećih vrsta aplikacija:
- Tradicionalne monolitne 2/3-slojne aplikacije
- Kubernetes aplikacije - u vlastitom DC-u, Public Cloud (EKS, AKS, GKE)
- Mobilne iOS i Android aplikacije
- Aplikacije s pozadinom REST API-ja
Razmotrit će se integracija i korištenje najpopularnijih open source i komercijalnih alata za informacijsku sigurnost.
Tečaj naglašava Scrum/Kanban prakse, ali se pristupi i alati također mogu koristiti u tradicionalnom modelu upravljanja projektima Waterfall.
Znanja i vještine koje ćete steći
- Prijelaz sa sigurnosnog modela “perimetralne zaštite” na model “zaštite svih slojeva”.
- Rječnik, termini i objekti koji se koriste u alatima za informacijsku sigurnost - CWE, CVE, Exploit itd.
- Osnovni standardi, metode, izvori informacija - OWASP, NIST, PCI DSS, CIS itd.
Također će naučiti kako se integrirati u CI/CD i koristiti alate za informacijsku sigurnost iz sljedećih kategorija:
- Analiza mogućih napada (Threat Modeling)
- Statička analiza izvornog koda za sigurnost (SAST)
- Dinamička analiza sigurnosti aplikacije (IAST/DAST)
- Analiza korištenja softvera trećih strana i softvera otvorenog koda (SCA)
- Testiranje konfiguracije na usklađenost sa sigurnosnim standardima (CIS, NIST, itd.)
- Učvršćivanje konfiguracije, krpanje
- Primjena upravljanja tajnama i certifikatima
- Primjena zaštite za REST-API unutar aplikacija mikroservisa i na pozadini
- Primjena vatrozida web-aplikacije (WAF)
- Vatrozidi sljedeće generacije (NGFW)
- Ručno i automatizirano testiranje penetracije (Penetration Test)
- Sigurnosni nadzor i odgovor na događaje u informacijskoj sigurnosti (SIEM)
- Forenzička analiza
Osim toga, voditelji timova dobit će preporuke o praksi za uspješnu implementaciju DevSecOps-a:
- Kako pripremiti i uspješno provesti mini-natječaj i PoC za odabir alata
- Kako promijeniti uloge, strukturu i područja odgovornosti timova za razvoj, podršku, informacijsku sigurnost
- Kako prilagoditi poslovne procese upravljanja proizvodima, razvoja, održavanja, informacijske sigurnosti
2
tečajTijekom 12 godina rada u IT-u uspio sam raditi kao developer, tester, devops i devsecops inženjer u tvrtkama kao što su NSPK (developer MIR kartice), Kaspersky Lab, Sibur i Rostelecom. U ovom trenutku ja...
Tijekom 12 godina rada u IT-u uspio sam raditi kao developer, tester, devops i devsecops inženjer u tvrtkama kao što su NSPK (developer MIR kartice), Kaspersky Lab, Sibur i Rostelecom. Trenutno sam voditelj sigurnog razvoja u Digital Energy (Rostelecom grupa kompanija). Moje praktično iskustvo temelji se na poznavanju jezika C#, F#, dotnet core, python, razvoj i integracija raznih DevOps i DevSecOps praktičnih alata (SAST/SCA, DAST/IAST, skeniranje web aplikacija, analiza infrastrukture, mobilno skeniranje aplikacije). Imam veliko iskustvo u postavljanju i podršci k8s klastera i radu s pružateljima usluga oblaka. Provodim sigurnosne revizije i implementiram mreže usluga. Autor sam vlastitih tečajeva o programiranju, testiranju, relacijskim i nerelacijskim bazama podataka, radu s pružateljima usluga oblaka i administriranju bare-metal poslužitelja. Govornik na međunarodnim skupovima.
1
dobroAnalitičar informacijske sigurnosti, Sovcombank
Iskustvo u informacijskoj sigurnosti od 2018. Specijalizacija: - Kontrola sigurnosti infrastrukture - Izgradnja procesa upravljanja ranjivostima za različite platforme (mikroservisi i DevOps, Host OS, mrežna oprema OS, Mobile, DB, Virtualizacija) - Upravljanje politikama i zahtjevima informacijske sigurnosti unutar infrastrukture i projekata razvoj. Učitelj, nastavnik, profesor
1
dobroOd 2017. bavi se revizijom komercijalnih mreža. Sudjelovao u razvoju sigurnosnog modela za međudržavnu banku Ukrajine "AT Oschadbank" Glavna značajka testiranja je pentest metodom "crne kutije". Radi s pythonom i bushom od 2016...
Od 2017. bavi se revizijom komercijalnih mreža. Sudjelovao u razvoju sigurnosnog modela za međudržavnu banku Ukrajine "AT Oschadbank" Glavna značajka testiranja je pentest metodom "crne kutije" Rad s pythonom i bushom od 2016. Iskustvo u radu s unix sustavima, posebice distribucijama temeljenim na Debian. Učitelj, nastavnik, profesor
Baza znanja o informacijskoj sigurnosti
-Tema 1. Rječnik, pojmovi, standardi, metode, izvori informacija koji se koriste u alatima za informacijsku sigurnost
-Tema 2. Temeljna načela osiguranja informacijske sigurnosti aplikacijskog steka i infrastrukture
Pregled ranjivosti OWASP-a
-Tema 3. Analiza OWASP Top 10 web ranjivosti
-Tema 4. Analiza OWASP Top 10 ranjivosti - REST API
Značajke razvoja sigurnog koda i korištenja okvira
-Tema 5. Siguran razvoj u HTML/CSS i PHP
-Tema 6. Ranjivosti sigurnog razvoja i softverskog koda
-Tema 7. Siguran razvoj u Java/Node.js
-Tema 8. Siguran razvoj u .NET-u
-Tema 9. Siguran razvoj u Rubyju
Razvoj sigurnih spremnika i aplikacija bez poslužitelja
-Tema 10. Osiguranje sigurnosti u Linux OS-u
-Tema 11. Osiguranje sigurnosti u Docker kontejnerima
-Tema 12. Osiguranje Kubernetesa
Integracija i rad s alatima za informacijsku sigurnost unutar DevSecOps-a
-Tema 13. Osiguranje sigurnosti CI/CD toolchaina i DevOps procesa
-Tema 14. Pregled DevSecOps alata
-Tema 15. Sigurnosna analiza izvornog koda (SAST/DAST/IAST)
-Tema 16. Korištenje zaštite za REST-API unutar mikroservisnih aplikacija i na pozadini.
-Tema 17. Korištenje Web-Application Firewalla (WAF) za web zaštitu, REST API, Bot zaštita.
-Tema 18. Moderni alati za zaštitu perimetra mreže (NGFW/Sandbox)
-Tema 19. Modeliranje prijetnji i penetracijsko testiranje
-Tema 20. Sigurnosni nadzor i odgovor na događaje u informacijskoj sigurnosti (SIEM/SOAR)
-Tema 21. Projektni plan i metodologija transformacije organizacije u DevSecOps.
Projektni modul
-Tema 22. Odabir teme
-Tema 23. Konzultacije i razgovori o projektnom radu
-Tema 24. Zaštita projekata