Implementasi dan pekerjaan di DevSecOps - kursus 88.000 gosok. dari Otus, pelatihan 5 bulan, Tanggal 30 Oktober 2023.
Miscellanea / / November 30, 2023
Saat ini kita terus-menerus dihadapkan pada serangan hacker, penipuan email, dan kebocoran data. Pekerjaan online telah menjadi kebutuhan bisnis dan kenyataan baru. Mengembangkan dan memelihara kode serta melindungi infrastruktur dengan mempertimbangkan keamanan menjadi persyaratan terpenting bagi spesialis TI. Spesialis inilah yang memiliki bayaran tertinggi dan paling diminati di antara perusahaan besar: Microsoft, Google, Amazon Web Services, Mail. Grup Ru, Yandex, Bank Tabungan, dan lainnya.
Untuk siapa kursus ini?
Mengembangkan infrastruktur dan tumpukan aplikasi dalam aliran perubahan Agile DevOps yang berkelanjutan memerlukan kerja terus-menerus dengan alat keamanan informasi. Model keamanan tradisional yang berfokus pada perimeter tidak lagi berfungsi. Di DevOps, tanggung jawab keamanan berada di tangan semua peserta dalam proses Dev[Sec]Ops.
Kursus ini ditujukan untuk spesialis di profil berikut:
- Pengembang
- Insinyur dan administrator DevOps
- Penguji
- Arsitek
- Spesialis keamanan informasi
- Spesialis yang ingin mempelajari cara mengembangkan dan memelihara aplikasi dan infrastruktur dengan perlindungan tingkat tinggi dari serangan eksternal dan internal dalam proses DevSecOps otomatis.
Tujuan Kursus
Implementasi DevSecOps yang sukses hanya mungkin dilakukan dengan pendekatan terintegrasi terhadap Alat, Proses Bisnis, dan Orang (Peran Peserta). Kursus ini memberikan pengetahuan tentang ketiga elemen dan pada awalnya dikembangkan untuk mendukung rantai alat CI/CD dan proyek transformasi pekerja Proses DevOps menjadi praktik DevSecOps penuh menggunakan alat keamanan otomatis terbaru.
Kursus ini akan mencakup fitur keamanan dari jenis aplikasi berikut:
- Aplikasi monolitik 2/3-Tingkat tradisional
- Aplikasi Kubernetes - di DC Anda sendiri, Public Cloud (EKS, AKS, GKE)
- Aplikasi seluler iOS dan Android
- Aplikasi dengan back-end REST API
Integrasi dan penggunaan alat keamanan informasi open source dan komersial yang paling populer akan dipertimbangkan.
Kursus ini menekankan praktik Scrum/Kanban, namun pendekatan dan alatnya juga dapat digunakan dalam model manajemen proyek Waterfall tradisional.
Pengetahuan dan keterampilan yang akan Anda peroleh
- Transisi dari model keamanan “perlindungan perimeter” ke model “perlindungan semua lapisan”.
- Kamus, istilah dan objek yang digunakan dalam alat keamanan informasi - CWE, CVE, Exploit, dll.
- Standar dasar, metode, sumber informasi - OWASP, NIST, PCI DSS, CIS, dll.
Mereka juga akan belajar bagaimana mengintegrasikan ke dalam CI/CD dan menggunakan alat keamanan informasi dari kategori berikut:
- Analisis kemungkinan serangan (Threat Modeling)
- Analisis statis kode sumber untuk keamanan (SAST)
- Analisis keamanan aplikasi dinamis (IAST/DAST)
- Analisis penggunaan perangkat lunak pihak ketiga dan sumber terbuka (SCA)
- Menguji konfigurasi untuk memenuhi standar keamanan (CIS, NIST, dll.)
- Konfigurasi Pengerasan, Patching
- Penerapan Manajemen Rahasia dan Sertifikat
- Menerapkan perlindungan untuk REST-API di dalam aplikasi layanan mikro dan di back-end
- Penerapan Web-Application Firewall (WAF)
- Firewall generasi berikutnya (NGFW)
- Pengujian penetrasi manual dan otomatis (Penetration Testing)
- Pemantauan keamanan dan respons terhadap peristiwa dalam keamanan informasi (SIEM)
- Analisis forensik
Selain itu, pemimpin tim akan menerima rekomendasi praktik agar berhasil menerapkan DevSecOps:
- Bagaimana mempersiapkan dan menyukseskan mini-tender dan PoC pemilihan alat
- Bagaimana mengubah peran, struktur dan bidang tanggung jawab tim pengembangan, dukungan, keamanan informasi
- Bagaimana mengadaptasi proses bisnis manajemen produk, pengembangan, pemeliharaan, keamanan informasi
2
kursusSelama 12 tahun bekerja di bidang IT, saya berhasil bekerja sebagai developer, tester, devops dan devsecops engineer di perusahaan seperti NSPK (pengembang kartu MIR), Kaspersky Lab, Sibur dan Rostelecom. Saat ini saya...
Selama 12 tahun bekerja di bidang IT, saya berhasil bekerja sebagai developer, tester, devops dan devsecops engineer di perusahaan seperti NSPK (pengembang kartu MIR), Kaspersky Lab, Sibur dan Rostelecom. Saat ini saya adalah kepala pengembangan aman di Digital Energy (grup perusahaan Rostelecom).Pengalaman praktis saya didasarkan pada pengetahuan bahasa C#, F#, dotnet core, python, pengembangan dan integrasi berbagai alat praktik DevOps dan DevSecOps (SAST/SCA, DAST/IAST, pemindaian aplikasi web, analisis infrastruktur, pemindaian seluler aplikasi). Saya memiliki pengalaman luas dalam menerapkan dan mendukung cluster k8s, dan bekerja dengan penyedia cloud. Saya melakukan audit keamanan dan menerapkan jerat layanan. Saya adalah penulis kursus saya sendiri tentang pemrograman, pengujian, database relasional dan non-relasional, bekerja dengan penyedia cloud dan mengelola server bare-metal. Pembicara di konferensi internasional.
1
SehatAnalis Keamanan Informasi, Sovcombank
Pengalaman di bidang keamanan informasi sejak tahun 2018 Spesialisasi: - Pengendalian keamanan infrastruktur - Membangun proses manajemen kerentanan untuk berbagai platform (layanan mikro dan DevOps, OS Host, OS peralatan jaringan, Seluler, DB, Virtualisasi) - Manajemen kebijakan dan persyaratan keamanan informasi dalam infrastruktur dan proyek perkembangan. Guru
1
SehatTelah mengaudit jaringan komersial sejak 2017. Berpartisipasi dalam pengembangan model keamanan untuk bank antar negara bagian Ukraina "AT Oschadbank" Fitur utama pengujian adalah pentest menggunakan metode "kotak hitam". Bekerja dengan python dan bush sejak 2016...
Telah mengaudit jaringan komersial sejak 2017. Berpartisipasi dalam pengembangan model keamanan untuk bank antar negara bagian Ukraina "AT Oschadbank"Fitur utama pengujian adalah pentest menggunakan metode "kotak hitam"Bekerja dengan python dan bush sejak 2016Pengalaman bekerja dengan sistem unix, khususnya distribusi berdasarkan Debian. Guru
Basis pengetahuan keamanan informasi
-Topik 1. Kamus, istilah, standar, metode, sumber informasi yang digunakan dalam alat keamanan informasi
-Topik 2. Prinsip dasar untuk memastikan keamanan informasi tumpukan aplikasi dan infrastruktur
Ikhtisar Kerentanan OWASP
-Topik 3. Analisis 10 Kerentanan Web Teratas OWASP
-Topik 4. Analisis 10 kerentanan teratas OWASP - REST API
Fitur pengembangan kode aman dan penggunaan kerangka kerja
-Topik 5. Pengembangan aman dalam HTML/CSS dan PHP
-Topik 6. Mengamankan kerentanan pengembangan dan kode perangkat lunak
-Topik 7. Pengembangan aman di Java/Node.js
-Topik 8. Pengembangan aman di .NET
-Topik 9. Pengembangan aman di Ruby
Pengembangan aplikasi container dan tanpa server yang aman
-Topik 10. Memastikan keamanan di OS Linux
-Topik 11. Memastikan keamanan dalam wadah Docker
-Topik 12. Mengamankan Kubernetes
Integrasi dan bekerja dengan alat keamanan informasi dalam DevSecOps
-Topik 13. Memastikan keamanan rantai alat CI/CD dan proses DevOps
-Topik 14. Tinjauan alat DevSecOps
-Topik 15. Analisis keamanan kode sumber (SAST/DAST/IAST)
-Topik 16.Menggunakan perlindungan untuk REST-API di dalam aplikasi layanan mikro dan di back-end.
-Topik 17.Penggunaan Web-Application Firewall (WAF) untuk perlindungan Web, REST API, perlindungan Bot.
-Topik 18.Alat keamanan perimeter jaringan modern (NGFW/Sandbox)
-Topik 19. Pemodelan ancaman dan pengujian penetrasi
-Topik 20. Pemantauan keamanan dan respons terhadap peristiwa keamanan informasi (SIEM/SOAR)
-Topik 21. Rencana proyek dan metodologi untuk mengubah organisasi menjadi DevSecOps.
Modul proyek
-Tema 22.Memilih tema
-Topik 23. Konsultasi dan diskusi pekerjaan proyek
-Topik 24.Perlindungan proyek