Implementazione e lavoro in DevSecOps - corso 88.000 rubli. da Otus, formazione 5 mesi, data 30 ottobre 2023.
Miscellanea / / November 30, 2023
Oggi siamo costantemente confrontati ad attacchi di hacker, frodi via email e fughe di dati. Il lavoro online è diventato un requisito aziendale e una nuova realtà. Lo sviluppo e la manutenzione del codice e la protezione dell'infrastruttura tenendo presente la sicurezza stanno diventando un requisito fondamentale per gli specialisti IT. Sono questi specialisti i più pagati e richiesti tra i grandi datori di lavoro: Microsoft, Google, Amazon Web Services, Mail. Gruppo Ru, Yandex, Sberbank e altri.
A chi è rivolto questo corso?
Lo sviluppo di stack di infrastrutture e applicazioni nel flusso continuo dei cambiamenti Agile DevOps richiede un lavoro continuo con gli strumenti di sicurezza delle informazioni. Il tradizionale modello di sicurezza incentrato sul perimetro non funziona più. In DevOps, la responsabilità della sicurezza ricade su tutti i partecipanti al processo Dev[Sec]Ops.
Il corso è rivolto a specialisti dei seguenti profili:
- Sviluppatori
- Ingegneri e amministratori DevOps
- Tester
- Architetti
- Specialisti della sicurezza informatica
- Specialisti che desiderano imparare come sviluppare e mantenere applicazioni e infrastrutture con un elevato grado di protezione da attacchi esterni e interni in un processo DevSecOps automatizzato.
Scopo del Corso
Un'implementazione di successo di DevSecOps è possibile solo con un approccio integrato a strumenti, processi aziendali e persone (ruoli dei partecipanti). Il corso fornisce conoscenze su tutti e tre gli elementi ed è stato originariamente sviluppato per supportare la toolchain CI/CD e il progetto di trasformazione dei lavoratori Il processo DevOps diventa una pratica DevSecOps completa utilizzando gli strumenti di sicurezza automatizzati più recenti.
Il corso tratterà le funzionalità di sicurezza delle seguenti tipologie di applicazioni:
- Applicazioni monolitiche tradizionali a 2/3 livelli
- Applicazioni Kubernetes - nel tuo DC, Public Cloud (EKS, AKS, GKE)
- Applicazioni mobili iOS e Android
- Applicazioni con back-end API REST
Verrà presa in considerazione l'integrazione e l'utilizzo dei più diffusi strumenti open source e commerciali per la sicurezza delle informazioni.
Il corso enfatizza le pratiche Scrum/Kanban, ma gli approcci e gli strumenti possono essere utilizzati anche nel tradizionale modello di gestione del progetto Waterfall.
Conoscenze e abilità che acquisirai
- Transizione dal modello di sicurezza “protezione perimetrale” al modello di “protezione di tutti i livelli”.
- Dizionario, termini e oggetti utilizzati negli strumenti di sicurezza delle informazioni - CWE, CVE, Exploit, ecc.
- Standard di base, metodi, fonti di informazione - OWASP, NIST, PCI DSS, CIS, ecc.
Impareranno inoltre come integrarsi in CI/CD e utilizzare gli strumenti di sicurezza delle informazioni delle seguenti categorie:
- Analisi dei possibili attacchi (Threat Modeling)
- Analisi statica del codice sorgente per la sicurezza (SAST)
- Analisi dinamica della sicurezza delle applicazioni (IAST/DAST)
- Analisi dell'utilizzo di software di terze parti e open source (SCA)
- Testare la configurazione per la conformità agli standard di sicurezza (CIS, NIST, ecc.)
- Rafforzamento della configurazione, patching
- Applicazione della gestione dei segreti e dei certificati
- Applicazione della protezione per REST-API all'interno delle applicazioni di microservizi e sul back-end
- Applicazione del firewall per applicazioni Web (WAF)
- Firewall di nuova generazione (NGFW)
- Penetration testing manuale e automatizzato (Penetration Testing)
- Monitoraggio della sicurezza e risposta agli eventi nella sicurezza informatica (SIEM)
- Analisi forense
Inoltre, i team leader riceveranno consigli sulle pratiche per implementare con successo DevSecOps:
- Come preparare e condurre con successo una mini-gara e un PoC per la selezione degli strumenti
- Come cambiare i ruoli, la struttura e le aree di responsabilità dei team di sviluppo, supporto e sicurezza delle informazioni
- Come adattare i processi aziendali di gestione del prodotto, sviluppo, manutenzione, sicurezza delle informazioni
2
corsoIn 12 anni di lavoro nel settore IT, sono riuscito a lavorare come sviluppatore, tester, ingegnere devops e devsecops in aziende come NSPK (sviluppatore della scheda MIR), Kaspersky Lab, Sibur e Rostelecom. Al momento io...
In 12 anni di lavoro nel settore IT, sono riuscito a lavorare come sviluppatore, tester, ingegnere devops e devsecops in aziende come NSPK (sviluppatore della scheda MIR), Kaspersky Lab, Sibur e Rostelecom. Attualmente sono responsabile dello sviluppo sicuro presso Digital Energy (gruppo di società Rostelecom). La mia esperienza pratica si basa sulla conoscenza dei linguaggi C#, F#, dotnet core, Python, sviluppo e integrazione di vari strumenti pratici DevOps e DevSecOps (SAST/SCA, DAST/IAST, scansione di applicazioni web, analisi dell'infrastruttura, scansione mobile applicazioni). Ho una vasta esperienza nella distribuzione e nel supporto di cluster k8s e lavoro con fornitori di servizi cloud. Conduco controlli di sicurezza e distribuisco mesh di servizi. Sono l'autore dei miei corsi su programmazione, test, database relazionali e non relazionali, lavoro con fornitori di servizi cloud e amministrazione di server bare metal. Relatore a convegni internazionali.
1
BENEAnalista della sicurezza informatica, Sovcombank
Esperienza nella sicurezza delle informazioni dal 2018 Specializzazione: - Controllo della sicurezza delle infrastrutture - Creazione di processi di gestione delle vulnerabilità per varie piattaforme (microservizi e DevOps, Host OS, apparati di rete, Mobile, DB, Virtualizzazione) - Gestione delle policy e dei requisiti di sicurezza delle informazioni all'interno di infrastrutture e progetti sviluppo. Insegnante
1
BENEEsegue audit di reti commerciali dal 2017. Ha partecipato allo sviluppo di un modello di sicurezza per la banca interstatale dell'Ucraina "AT Oschadbank" La caratteristica principale del test è il pentest utilizzando il metodo "scatola nera". Lavoro con Python e Bush dal 2016...
Esegue audit di reti commerciali dal 2017. Partecipato allo sviluppo di un modello di sicurezza per la banca interstatale dell'Ucraina "AT Oschadbank"La caratteristica principale del test è pentest utilizzando il metodo "scatola nera"Lavoro con python e bush dal 2016Esperienza nell'utilizzo di sistemi unix, in particolare distribuzioni basate su Debian. Insegnante
Base di conoscenze sulla sicurezza delle informazioni
-Argomento 1. Dizionario, termini, standard, metodi, fonti di informazioni utilizzate negli strumenti di sicurezza delle informazioni
-Argomento 2. Principi di base per garantire la sicurezza delle informazioni dello stack applicativo e dell'infrastruttura
Panoramica della vulnerabilità OWASP
-Argomento 3. Analisi delle 10 principali vulnerabilità Web OWASP
-Argomento 4. Analisi delle 10 principali vulnerabilità OWASP - API REST
Funzionalità di sviluppo di codice sicuro e utilizzo di framework
-Argomento 5. Sviluppo sicuro in HTML/CSS e PHP
-Argomento 6. Sviluppo sicuro e vulnerabilità del codice software
-Argomento 7. Sviluppo sicuro in Java/Node.js
-Argomento 8. Sviluppo sicuro in .NET
-Argomento 9. Sviluppo sicuro in Ruby
Sviluppo di applicazioni container e serverless sicure
-Argomento 10. Garantire la sicurezza nel sistema operativo Linux
-Argomento 11. Garantire la sicurezza nei contenitori Docker
-Argomento 12. Protezione di Kubernetes
Integrazione e lavoro con strumenti di sicurezza delle informazioni all'interno di DevSecOps
-Argomento 13. Garantire la sicurezza della toolchain CI/CD e del processo DevOps
-Argomento 14. Revisione degli strumenti DevSecOps
-Argomento 15. Analisi della sicurezza del codice sorgente (SAST/DAST/IAST)
-Argomento 16.Utilizzo della protezione per REST-API all'interno delle applicazioni di microservizi e nel back-end.
-Argomento 17.Utilizzo del Web-Application Firewall (WAF) per la protezione Web, API REST, protezione Bot.
-Argomento 18.Strumenti moderni per la sicurezza del perimetro di rete (NGFW/Sandbox)
-Argomento 19. Modellazione delle minacce e test di penetrazione
-Argomento 20. Monitoraggio della sicurezza e risposta agli eventi nella sicurezza delle informazioni (SIEM/SOAR)
-Argomento 21. Piano di progetto e metodologia per trasformare un'organizzazione in DevSecOps.
Modulo di progetto
-Tema 22.Selezione di un tema
-Argomento 23. Consultazioni e discussioni sul lavoro di progetto
-Tema 24.Tutela dei progetti