יישום ועבודה ב-DevSecOps - קורס 88,000 רובל. מאוטוס, הכשרה 5 חודשים, תאריך 30 באוקטובר 2023.
Miscellanea / / November 30, 2023
כיום אנו מתמודדים כל הזמן עם התקפות האקרים, הונאות דוא"ל והדלפות נתונים. עבודה מקוונת הפכה לדרישה עסקית ולמציאות חדשה. פיתוח ותחזוקה של קוד והגנה על תשתית מתוך מחשבה על אבטחה הופכים לדרישה עליונה עבור מומחי IT. המומחים הללו הם בעלי השכר והביקוש הגבוה ביותר בקרב מעסיקים גדולים: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank ואחרים.
למי מיועד הקורס הזה?
פיתוח תשתיות וערימות יישומים בזרימה המתמשכת של שינויים ב-Agile DevOps דורשת עבודה רציפה עם כלי אבטחת מידע. מודל האבטחה המסורתי ממוקד היקפי כבר לא עובד. ב-DevOps, האחריות לאבטחה נופלת על כל המשתתפים בתהליך Dev[Sec]Ops.
הקורס מיועד למומחים בפרופילים הבאים:
- מפתחים
- מהנדסים ומנהלי DevOps
- בודקים
- אדריכלים
- מומחי אבטחת מידע
- מומחים שרוצים ללמוד כיצד לפתח ולתחזק אפליקציות ותשתיות עם רמה גבוהה של הגנה מפני התקפות חיצוניות ופנימיות בתהליך אוטומטי של DevSecOps.
מטרת הקורס
יישום מוצלח של DevSecOps אפשרי רק עם גישה משולבת לכלים, תהליכים עסקיים ואנשים (תפקידי משתתפים). הקורס מספק ידע על כל שלושת האלמנטים והוא פותח במקור כדי לתמוך ב-CI/CD Toolchain ופרויקט שינוי עובדים תהליך DevOps לתרגול מלא של DevSecOps תוך שימוש בכלי האבטחה האוטומטיים העדכניים ביותר.
הקורס יכסה את תכונות האבטחה של סוגי היישומים הבאים:
- יישומי 2/3 שכבה מונוליטיים מסורתיים
- יישומי Kubernetes - ב-DC שלך, בענן ציבורי (EKS, AKS, GKE)
- אפליקציות iOS ואנדרואיד לנייד
- יישומים עם REST API אחורי
השילוב והשימוש בכלי הקוד הפתוח והמסחריים הפופולריים ביותר יישקלו.
הקורס שם דגש על פרקטיקות Scrum/Kanban, אך ניתן להשתמש בגישות ובכלים גם במודל ניהול הפרויקטים המסורתי של Waterfall.
ידע ומיומנויות שתרכוש
- מעבר ממודל האבטחה "הגנה היקפית" למודל "הגנה על כל השכבות".
- מילון, מונחים ואובייקטים המשמשים בכלי אבטחת מידע - CWE, CVE, Exploit וכו'.
- תקנים בסיסיים, שיטות, מקורות מידע - OWASP, NIST, PCI DSS, CIS וכו'.
הם גם ילמדו כיצד להשתלב ב-CI/CD ולהשתמש בכלי אבטחת מידע מהקטגוריות הבאות:
- ניתוח התקפות אפשריות (מודל איומים)
- ניתוח סטטי של קוד מקור לאבטחה (SAST)
- ניתוח אבטחת יישומים דינמי (IAST/DAST)
- ניתוח השימוש בתוכנת צד שלישי וקוד פתוח (SCA)
- בדיקת התצורה לעמידה בתקני אבטחה (CIS, NIST וכו')
- הקשחת תצורה, תיקון
- יישום של סודות וניהול תעודות
- החלת הגנה עבור REST-API בתוך יישומי מיקרו-שירות ובחלק האחורי
- יישום של חומת אש של אפליקציות אינטרנט (WAF)
- חומות אש מהדור הבא (NGFW)
- בדיקת חדירה ידנית ואוטומטית (בדיקת חדירה)
- ניטור אבטחה ותגובה לאירועים באבטחת מידע (SIEM)
- ניתוח משפטי
בנוסף, ראשי צוותים יקבלו המלצות על שיטות עבודה ליישום מוצלח של DevSecOps:
- אופן הכנה וביצוע מוצלח של מיני מכרז ו-PoC לבחירת הכלים
- כיצד לשנות את התפקידים, המבנה ותחומי האחריות של צוותי פיתוח, תמיכה, אבטחת מידע
- כיצד להתאים תהליכים עסקיים של ניהול מוצר, פיתוח, תחזוקה, אבטחת מידע
2
קוּרסבמשך 12 שנות עבודה בתחום ה-IT, הספקתי לעבוד כמפתח, בודק, מהנדס devops ו-devsecops בחברות כמו NSPK (מפתח כרטיס MIR), Kaspersky Lab, Sibur ו-Rostelecom. כרגע אני...
במשך 12 שנות עבודה בתחום ה-IT, הספקתי לעבוד כמפתח, בודק, מהנדס devops ו-devsecops בחברות כמו NSPK (מפתח כרטיס MIR), Kaspersky Lab, Sibur ו-Rostelecom. כיום אני ראש הפיתוח המאובטח ב-Digital Energy (קבוצת חברות Rostelecom) הניסיון המעשי שלי מבוסס על ידע בשפות C#, F#, dotnet core, פיתון, פיתוח ואינטגרציה של כלים שונים לתרגול DevOps ו-DevSecOps (SAST/SCA, DAST/IAST, סריקת אפליקציות אינטרנט, ניתוח תשתיות, סריקה ניידת יישומים). יש לי ניסיון רב בפריסה ותמיכה באשכולות k8s, ועובד עם ספקי ענן. אני עורך ביקורות אבטחה ופורס רשתות שירות. אני מחבר הקורסים שלי בנושאי תכנות, בדיקות, מסדי נתונים רלציוניים ולא-רלציוניים, עבודה עם ספקי ענן וניהול שרתי Bare-metal. דובר בכנסים בינלאומיים.
1
נואנליסט אבטחת מידע, סובקומבנק
ניסיון באבטחת מידע משנת 2018 התמחות: - בקרת אבטחת תשתית - בניית תהליכי ניהול פגיעות לפלטפורמות שונות (מיקרו-שירותים ו-DevOps, מערכת הפעלה מארח, מערכת הפעלה של ציוד רשת, נייד, DB, וירטואליזציה) - ניהול מדיניות ודרישות אבטחת מידע בתשתיות ופרויקטים התפתחות. מוֹרֶה
1
נומבקר רשתות מסחריות מאז 2017. השתתף בפיתוח מודל אבטחה לבנק הבין-מדינתי של אוקראינה "AT Oschadbank" המאפיין העיקרי של הבדיקה הוא pentest בשיטת "הקופסה השחורה" עובד עם פיתון ובוש משנת 2016...
מבקר רשתות מסחריות מאז 2017. השתתף בפיתוח מודל אבטחה עבור הבנק הבין-מדינתי של אוקראינה "AT Oschadbank"התכונה העיקרית של הבדיקה היא פנטסטי בשיטת "הקופסה השחורה" עבודה עם python ו-bush מאז 2016 ניסיון בעבודה עם מערכות יוניקס, בפרט הפצות המבוססות על דביאן. מוֹרֶה
בסיס ידע בנושא אבטחת מידע
-נושא 1. מילון, מונחים, תקנים, שיטות, מקורות מידע המשמשים בכלי אבטחת מידע
-נושא 2. עקרונות בסיסיים של הבטחת אבטחת מידע של ערימת האפליקציות והתשתית
סקירת פגיעות OWASP
-נושא 3. ניתוח של OWASP Top 10 פגיעויות אינטרנט
-נושא 4. ניתוח של OWASP Top 10 פרצות - REST API
תכונות של פיתוח קוד מאובטח ושימוש במסגרות
-נושא 5. פיתוח מאובטח ב-HTML/CSS ו-PHP
-נושא 6. פרצות פיתוח מאובטח וקוד תוכנה
-נושא 7. פיתוח מאובטח ב-Java/Node.js
-נושא 8. פיתוח מאובטח ב-.NET
-נושא 9. פיתוח מאובטח ברובי
פיתוח אפליקציות קונטיינר מאובטחות וללא שרתים
-נושא 10. הבטחת אבטחה במערכת ההפעלה לינוקס
-נושא 11. הבטחת אבטחה במכולות Docker
-נושא 12. אבטחת Kubernetes
אינטגרציה ועבודה עם כלי אבטחת מידע בתוך DevSecOps
-נושא 13. הבטחת האבטחה של שרשרת הכלים CI/CD ותהליך DevOps
-נושא 14. סקירה של כלי DevSecOps
-נושא 15. ניתוח אבטחה של קוד המקור (SAST/DAST/IAST)
-נושא 16. שימוש בהגנה עבור REST-API בתוך יישומי מיקרו-שירות ובחלק האחורי.
-נושא 17. שימוש בחומת אש של אפליקציות אינטרנט (WAF) להגנה על אינטרנט, REST API, הגנת Bot.
-נושא 18. כלי אבטחה היקפיים מודרניים של רשת (NGFW/Sandbox)
-נושא 19. מידול איומים ובדיקות חדירה
-נושא 20. ניטור אבטחה ותגובה לאירועים באבטחת מידע (SIEM/SOAR)
-נושא 21. תוכנית פרויקט ומתודולוגיה להפיכת ארגון ל-DevSecOps.
מודול פרויקט
-נושא 22. בחירת ערכת נושא
-נושא 23. התייעצויות ודיונים בעבודת הפרויקט
-נושא 24.הגנה על פרויקטים