[Яндекс Практикум] DevSecOps: безопасная разработка и эксплуатация

[Aноним]

Ссылка на картинку

За 3 месяца научитесь выстраивать процессы, чтобы обеспечить безопасность на всех этапах разработки приложения

Это курс для специалистов, которые уже знакомы с DevOps‑инструментами
Нужно иметь опыт работы с Git, Docker CI/CD и Linux, понимать принципы функционирования веб-приложения и сетевые протоколы (HTTP, TCP/IP)

Через 3 месяца вы сможете:

• Объяснить принципы DevSecOps и описать, как безопасность интегрируется в DevOps‑процессы на всех этапах SDLC
• Настраивать и внедрять в CI/CD-пайплайны инструменты безопасности: SAST, SCA, DAST, WAF, Trivy, Vault и другие
• Оценивать уязвимости в коде, зависимостях, контейнерах и инфраструктуре при помощи современных средств автоматизации
• Разрабатывать и внедрять безопасные пайплайны с учётом угроз, рисков и лучших практик DevSecOps
• Анализировать и минимизировать риски, используя фреймворки угроз и зрелости безопасности
• Повышать уровень безопасности контейнеров и кластеров Kubernetes при помощи защитных мер по рекомендациям CIS Benchmarks
• Настраивать безопасное хранение секретов и контролировать доступ к инфраструктуре при помощи Vault, Keycloak и LDAP
• Использовать Linux-механизмы безопасности (AppArmor, SELinux, Seccomp) для защиты среды исполнения
• Проводить тестирование на проникновение и анализ инцидентов при помощи Nmap, Metasploit, SIEM и других инструментов

Освоите стек технологий, который соответствует современным требованиям DevSecOps:

• Docker
• Harbor
• Trivy
• SonarQube
• Kubernetes
• Keycloak
• Vault
• Terraform
• Ansible
• Metasploit
• Nmap
• Shift Left
• Secure SDLC
• SIEM-системы
• CIS Benchmarks
• Threat Modeling
• OWASP Top 10
• Snyk
• Burp Suite
• iptables
• nftables
• Postmortem
• DefectDojo
• BSIMM
• WAF

Программа курса:

• Основы изоляции и поиск уязвимостей в контейнерах
• Анализ уязвимостей в Trivy
• Введение в DevSecOps
• Принципы DevSecOps
• Инструменты и технологии DevSecOps
• Основные механизмы безопасности Linux
• Изоляция в Docker, угрозы и атаки на контейнеры
• Kubernetes
• Безопасность инфраструктуры
• Интеграция в CI/CD
• Тестирование безопасности
• SIEM-системы
• MITRE ATT&CK
• Threat Modeling
• Итоговый проект

Читать далее...

Показать больше