Программа обучения: Специалист DevSecOps
Программа профессиональной переподготовки
Специалист DevSecOps
Программа профессиональной переподготовки
Освойте профессию на стыке ИТ и информационной безопасности
Освойте профессию на стыке ИТ и информационной безопасности
1
Старт и длительность
14.06.2024 | 272 ак. часа
2
Формат обучения
Онлайн. Живые лекции с преподавателями
3
Документ
Диплом о профессиональной переподготовке
4
Уровень
Руководитель и специалист
1
Старт и длительность
14.06.2024 | 272 ак. часа
2
Формат обучения
Онлайн. Живые лекции с преподавателями
3
Документ
Диплом о профессиональной переподготовке
4
Уровень
Руководитель и специалист
О программе
Программа готовит DevSecOps инженеров, способных к внедрению безопасного инженерного процесса разработки современных цифровых платформ и экосистем на основе лучших международных практик разработки безопасного программного обеспечения.
Программа готовит DevSecOps инженеров, способных к внедрению безопасного инженерного процесса разработки современных цифровых платформ и экосистем на основе лучших международных практик разработки безопасного программного обеспечения.
В настоящее время большинство российских компаний используют внутреннее (in-house) развитие ИТ-систем, до этого большинство систем
и решений поставляли внешние производители ПО. По этой причине стало важным повысить качество, безопасность и скорость разработки ПО за счет формирования внутренних команд разработки
и построения собственного производственного
ИТ-процесса.
Переход к практикам DevSecOps является одним
из стратегических направлений современных российских предприятий и подразумевает трансформацию служб, занимающихся разработкой, тестированием и эксплуатацией ПО, в так называемые кросс-функциональные команды, работающие над одной бизнес-функциональностью.
В настоящее время большинство российских компаний используют внутреннее (in-house) развитие ИТ-систем, до этого большинство систем и решений поставляли внешние производители ПО. По этой причине стало важным повысить качество, безопасность и скорость разработки ПО за счет формирования внутренних команд разработки и построения собственного производственного ИТ-процесса.
Переход к практикам DevSecOps является одним из стратегических направлений современных российских предприятий и подразумевает трансформацию служб, занимающихся разработкой, тестированием и эксплуатацией ПО, в так называемые кросс-функциональные команды, работающие над одной бизнес-функциональностью.
Для кого программа
Помогаем расти непрерывно!
Оформите договор на обучение до 30 апреля включительно и получите промокод на скидку – 10% на один любой электронный курс Академии АйТи по вашему выбору!* Короткие электронные курсы – дополнительная поддержка ваших soft и hard skills.
*промокод действует до 31 декабря 2024 года (00:00 Мск).
Оформите договор на обучение до 30 апреля включительно и получите промокод на скидку – 10% на один любой электронный курс Академии АйТи по вашему выбору!* Короткие электронные курсы – дополнительная поддержка ваших soft и hard skills.
*промокод действует до 31 декабря 2024 года (00:00 Мск).
Преимущества и бонусы
- Только живое общениеОбучение проходит онлайн
в формате LIVE-трансляций01 - Много практикиВозможность проверить и закрепить
полученные навыки02 - Возврат налогового вычетаВозможность вернуть налоговый вычет
13% от стоимости обучения03 - Удобная схема оплатыРассрочка от Академии
на период обучения04
- Только живое общениеОбучение проходит онлайн
в формате LIVE-трансляций01 - Много практикиВозможность проверить и закрепить полученные навыки02
- Возврат налогового вычетаВозможность вернуть налоговый вычет
13% от стоимости обучения03 - Удобная схема оплатыРассрочка от Академии
на период обучения04
Чему вы научитесь на курсе
- Взаимодействовать с командами разработки ПО и операционными подразделениями
для анализа функциональных
и не функциональных требований, пользовательских сценариев на предмет безопасности - Разрабатывать шаблоны безопасной архитектуры приложений, внедрять стандартны безопасного программирования, доводить требования безопасности
до команд разработки ПО - Заниматься подготовкой требований
по безопасности, а также контролировать соблюдение требований в процессе разработки ПО - Управлять уязвимостью программных систем. Вести их учет, оценивать критичность
и контролировать исправления в разработке ПО - Внедрять лучшие практики разработки безопасного ПО, DevSecOps (SAST, DAST, dependency check и др)
- Управлять требованиями по безопасности,
в частности моделировать и анализировать угрозы безопасности - Проводить ревью безопасности разработанной архитектуры приложений (монолитной, SOA, микросервисной), ревью исходного кода ПО, тестирование безопасности релизов и систем
в продакшене - Своевременно информировать команды разработчиков ПО об обнаружении новых
и ранее неизвестных уязвимостях программного кода и предлагать обоснованные решения для их нейтрализации
- Взаимодействовать с командами разработки ПО и операционными подразделениями для анализа функциональных и не функциональных требований, пользовательских сценариев на предмет безопасности
- Разрабатывать шаблоны безопасной архитектуры приложений, внедрять стандартны безопасного программирования, доводить требования безопасности до команд разработки ПО
- Заниматься подготовкой требований по безопасности, а также контролировать соблюдение требований в процессе разработки ПО
- Управлять уязвимостью программных систем. Вести их учет, оценивать критичность и контролировать исправления в разработке ПО
- Внедрять лучшие практики разработки безопасного ПО, DevSecOps (SAST, DAST, dependency check и др)
- Управлять требованиями по безопасности, в частности моделировать и анализировать угрозы безопасности
- Проводить ревью безопасности разработанной архитектуры приложений (монолитной, SOA, микросервисной), ревью исходного кода ПО, тестирование безопасности релизов и систем в продакшене
- Своевременно информировать команды разработчиков ПО об обнаружении новых и ранее неизвестных уязвимостях программного кода и предлагать обоснованные решения для их нейтрализации
Содержание курса
1.1 Алгоритм – свойства и способы представления. Типы данных – назначение и роль в программе. Операнды и операторы – вычисление выражений
1.2 Модели разработки программ. Структурное программирование. Базовые принципы: блочная структура кода – блоки и подпрограммы. типовые структуры управления – последовательность, ветвление, цикл
1.3 Соcтавление алгоритмов. Применение машинной логики к задачам поиска данных. Оценка времени работы алгоритмов, эффективность кода.
1.4 Практические примеры составления блок-схем и псевдокода. Простейшие алгоритмические задачи. Перевод алгоритма в код. Подпрограммы (функции) как основные блоки кода. Типовые задачи на обработку текста.
1.5 Понятие массива. Типовые задачи с массивами: доступ к элементу, обход элементов, инициализация элементов.
1.6 Простейшие конструкции данных: список, стек, очередь, дерево. Поиск элемента и сортировка элементов. Реализация динамического стека.
1.7 Установка интерпретатора Python. Основные операции и типы данных. Операторы ветвления и циклы. Установка и запуск среды разработки. Типы данных: числа, строки, списки, логический тип, None. Функции преобразования типов. Простой ввод и простой вывод
1.8 Cтроки. Методы и функции. Использование срезов. Кортеж. Основные операции с кортежем. Распаковка кортежа. Список. Основные операции со списком. Словарь. Основные операции со словарем. Множества. Основные операции с множеством
1.9 Ветвления. Оператор if. Базовая форма цикла while. Операторы break и continue. Перебор (for). Генераторы словарей, списков, множеств
1.2 Модели разработки программ. Структурное программирование. Базовые принципы: блочная структура кода – блоки и подпрограммы. типовые структуры управления – последовательность, ветвление, цикл
1.3 Соcтавление алгоритмов. Применение машинной логики к задачам поиска данных. Оценка времени работы алгоритмов, эффективность кода.
1.4 Практические примеры составления блок-схем и псевдокода. Простейшие алгоритмические задачи. Перевод алгоритма в код. Подпрограммы (функции) как основные блоки кода. Типовые задачи на обработку текста.
1.5 Понятие массива. Типовые задачи с массивами: доступ к элементу, обход элементов, инициализация элементов.
1.6 Простейшие конструкции данных: список, стек, очередь, дерево. Поиск элемента и сортировка элементов. Реализация динамического стека.
1.7 Установка интерпретатора Python. Основные операции и типы данных. Операторы ветвления и циклы. Установка и запуск среды разработки. Типы данных: числа, строки, списки, логический тип, None. Функции преобразования типов. Простой ввод и простой вывод
1.8 Cтроки. Методы и функции. Использование срезов. Кортеж. Основные операции с кортежем. Распаковка кортежа. Список. Основные операции со списком. Словарь. Основные операции со словарем. Множества. Основные операции с множеством
1.9 Ветвления. Оператор if. Базовая форма цикла while. Операторы break и continue. Перебор (for). Генераторы словарей, списков, множеств
2.1. Основные концепции DevSecOps.
Тренды разработки современного ПО (внедрение практик DevOps, снижение общих сроков разработки ПО (time to market), повышение гибкости в разработке ПО, переход от монолитных к микросервисным приложениям, динамическое выделение ИТ-ресурсов, повышение внимания к вопросам разработки безопасного ПО).
Основные понятия и определения DevOps и DevSecOps.
Ключевые компоненты DevSecOps (анализ кода, управление изменениями, мониторинг соотвествия, иследование угроз безопасности, оценка уязвимости кода, обучение и повышение осведомленности)
Основные этапы DevSecOps (разработка приложения и работа с репозиторием программ, непрерывная интеграция (CI) и тестирование приложения, непрерывное развертывание (CD) приложения в рабочей среде, контроль новой версии приложения в рабочей среде).
Возможные сценарии интеграции DevSecOps в процессы и инфраструктуру компании.
Адаптации функции кибербезопасности и интеграции DevSecOps.
Проведение оценки безопасности процесса разработки, а также идентификация ключевых рисков и риск-факторов, связанных с недостатками процесса.
Ключевые точки процесса разработки, где необходимо включение мер безопасности.
Информирование сотрудников о критических рисках и мерах для их снижения.
2.2. Основные практики DevSecOps. Моделирование угроз безопасности (Threat modeling).
Контроль компонент с открытым исходным кодом (Open Source Analysis, OSA).
Статический анализ кода (Static Application Security Testing, SAST).
Контроль состава компонент ПО (Software Composition Analysis, SCA).
Динамический анализ кода (Dynamic Application Security Testing, DAST/Interactive Application Security Testing, IAST/Behavioral Application Security Testing, BAST).
Фаззинг-тестирование (fuzzing).
Анализ бинарного кода и контроль состава контейнеров (Bytecode and Container Analysis, BCA).
Решения для выявления и нейтрализации уязвимостей программного кода.
Реализация WAF (Web Application Firewall).
2.3 Трансформация DevOps в DevSecOps. Использование безопасных по умолчанию библиотек, фреймворков и компонент ПО в процессе разработки (Secure-by-Default).
Интеграция технологических практик ИБ в начало конвейера CI/CD (Shift-Left подход).
Автоматизация процессов в концепции Everything-as-a-Code.
Формирование сообщества security-чемпионов в производственных командах для повышения инженерной security-культуры.
Применение модели зрелости DevSecOps для оценки существующего процесса и для постоянного совершенствования.
Обеспечение прозрачности security активностей для участников инженерного производственного процесса.
DevSecOps-оркестрация (Application Security Testing Orchestration, ASTO) для непрерывного улучшения процесса разработки безопасного ПО.
2.4 Национальные требования (ГОСТ Р 56939-2016 и ГОСТ Р ИСО/МЭК 12207) в части разработки безопасного ПО.
Требования в части идентификации и аутентификации.
Требования по защите от несанкционированного доступа к информации.
Требования в части регистрации событий безопасности.
Требования контроля точности, полноты и правильности входных и выходных данных.
Требования по обработке программных ошибок и исключительных ситуаций.
Требования класса ASE "Оценка задания по безопасности" (ГОСТ Р ИСО/МЭК 15408-3).
Меры по разработке безопасного программного обеспечения, реализуемые при выполнении инсталляции программы и поддержки приемки программного обеспечения.
Меры по разработке безопасного программного обеспечения, реализуемые при решении проблем в программном обеспечении в процессе эксплуатации.
Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента инфраструктурой среды разработки программного обеспечения.
2.5 Роли и кадровое обеспечение DevSecOps.
Принятие методологии разработки безопасного ПО, DevSecOps (оценка текущих мер безопасности и распределение ролей в команде разработки ПО, внедрение мер безопасности на стадии проектирования программных систем, внедрение инструментов и авто-тестов безопасности в пайплайн, тестирование безопасности разработанных решений, анализ выявленных уязвимостей и подготовка рекомендаций по их устранению, обучение лучшим практикам разработки безопасного ПО, Best Practices).
Распределение ролей в процессе DevSecOps (продакт менеджер, архитектор, команда разработки, QA, AppSec специалист, DevOps инженер).
Воспитание чемпионов безопасности Security Champions (масштабирование безопасности с помощью нескольких команд разработки, привлечение сотрудников, не связанных с безопасностью, но связанных с DevOps, создание и развитие культуры безопасности).
Повышение осведомленности по вопросам разработки безопасного ПО.
Развитие корпоративной культуры DevSecOps и безопасности в целом.
Тренды разработки современного ПО (внедрение практик DevOps, снижение общих сроков разработки ПО (time to market), повышение гибкости в разработке ПО, переход от монолитных к микросервисным приложениям, динамическое выделение ИТ-ресурсов, повышение внимания к вопросам разработки безопасного ПО).
Основные понятия и определения DevOps и DevSecOps.
Ключевые компоненты DevSecOps (анализ кода, управление изменениями, мониторинг соотвествия, иследование угроз безопасности, оценка уязвимости кода, обучение и повышение осведомленности)
Основные этапы DevSecOps (разработка приложения и работа с репозиторием программ, непрерывная интеграция (CI) и тестирование приложения, непрерывное развертывание (CD) приложения в рабочей среде, контроль новой версии приложения в рабочей среде).
Возможные сценарии интеграции DevSecOps в процессы и инфраструктуру компании.
Адаптации функции кибербезопасности и интеграции DevSecOps.
Проведение оценки безопасности процесса разработки, а также идентификация ключевых рисков и риск-факторов, связанных с недостатками процесса.
Ключевые точки процесса разработки, где необходимо включение мер безопасности.
Информирование сотрудников о критических рисках и мерах для их снижения.
2.2. Основные практики DevSecOps. Моделирование угроз безопасности (Threat modeling).
Контроль компонент с открытым исходным кодом (Open Source Analysis, OSA).
Статический анализ кода (Static Application Security Testing, SAST).
Контроль состава компонент ПО (Software Composition Analysis, SCA).
Динамический анализ кода (Dynamic Application Security Testing, DAST/Interactive Application Security Testing, IAST/Behavioral Application Security Testing, BAST).
Фаззинг-тестирование (fuzzing).
Анализ бинарного кода и контроль состава контейнеров (Bytecode and Container Analysis, BCA).
Решения для выявления и нейтрализации уязвимостей программного кода.
Реализация WAF (Web Application Firewall).
2.3 Трансформация DevOps в DevSecOps. Использование безопасных по умолчанию библиотек, фреймворков и компонент ПО в процессе разработки (Secure-by-Default).
Интеграция технологических практик ИБ в начало конвейера CI/CD (Shift-Left подход).
Автоматизация процессов в концепции Everything-as-a-Code.
Формирование сообщества security-чемпионов в производственных командах для повышения инженерной security-культуры.
Применение модели зрелости DevSecOps для оценки существующего процесса и для постоянного совершенствования.
Обеспечение прозрачности security активностей для участников инженерного производственного процесса.
DevSecOps-оркестрация (Application Security Testing Orchestration, ASTO) для непрерывного улучшения процесса разработки безопасного ПО.
2.4 Национальные требования (ГОСТ Р 56939-2016 и ГОСТ Р ИСО/МЭК 12207) в части разработки безопасного ПО.
Требования в части идентификации и аутентификации.
Требования по защите от несанкционированного доступа к информации.
Требования в части регистрации событий безопасности.
Требования контроля точности, полноты и правильности входных и выходных данных.
Требования по обработке программных ошибок и исключительных ситуаций.
Требования класса ASE "Оценка задания по безопасности" (ГОСТ Р ИСО/МЭК 15408-3).
Меры по разработке безопасного программного обеспечения, реализуемые при выполнении инсталляции программы и поддержки приемки программного обеспечения.
Меры по разработке безопасного программного обеспечения, реализуемые при решении проблем в программном обеспечении в процессе эксплуатации.
Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента инфраструктурой среды разработки программного обеспечения.
2.5 Роли и кадровое обеспечение DevSecOps.
Принятие методологии разработки безопасного ПО, DevSecOps (оценка текущих мер безопасности и распределение ролей в команде разработки ПО, внедрение мер безопасности на стадии проектирования программных систем, внедрение инструментов и авто-тестов безопасности в пайплайн, тестирование безопасности разработанных решений, анализ выявленных уязвимостей и подготовка рекомендаций по их устранению, обучение лучшим практикам разработки безопасного ПО, Best Practices).
Распределение ролей в процессе DevSecOps (продакт менеджер, архитектор, команда разработки, QA, AppSec специалист, DevOps инженер).
Воспитание чемпионов безопасности Security Champions (масштабирование безопасности с помощью нескольких команд разработки, привлечение сотрудников, не связанных с безопасностью, но связанных с DevOps, создание и развитие культуры безопасности).
Повышение осведомленности по вопросам разработки безопасного ПО.
Развитие корпоративной культуры DevSecOps и безопасности в целом.
1.1 Алгоритм – свойства и способы представления. Типы данных – назначение и роль в программе. Операнды и операторы – вычисление выражений
1.2 Модели разработки программ. Структурное программирование. Базовые принципы: блочная структура кода – блоки и подпрограммы. типовые структуры управления – последовательность, ветвление, цикл
1.3 Соcтавление алгоритмов. Применение машинной логики к задачам поиска данных. Оценка времени работы алгоритмов, эффективность кода.
1.4 Практические примеры составления блок-схем и псевдокода. Простейшие алгоритмические задачи. Перевод алгоритма в код. Подпрограммы (функции) как основные блоки кода. Типовые задачи на обработку текста.
1.5 Понятие массива. Типовые задачи с массивами: доступ к элементу, обход элементов, инициализация элементов.
1.6 Простейшие конструкции данных: список, стек, очередь, дерево. Поиск элемента и сортировка элементов. Реализация динамического стека.
1.7 Установка интерпретатора Python. Основные операции и типы данных. Операторы ветвления и циклы. Установка и запуск среды разработки. Типы данных: числа, строки, списки, логический тип, None. Функции преобразования типов. Простой ввод и простой вывод
1.8 Cтроки. Методы и функции. Использование срезов. Кортеж. Основные операции с кортежем. Распаковка кортежа. Список. Основные операции со списком. Словарь. Основные операции со словарем. Множества. Основные операции с множеством
1.9 Ветвления. Оператор if. Базовая форма цикла while. Операторы break и continue. Перебор (for). Генераторы словарей, списков, множеств
1.2 Модели разработки программ. Структурное программирование. Базовые принципы: блочная структура кода – блоки и подпрограммы. типовые структуры управления – последовательность, ветвление, цикл
1.3 Соcтавление алгоритмов. Применение машинной логики к задачам поиска данных. Оценка времени работы алгоритмов, эффективность кода.
1.4 Практические примеры составления блок-схем и псевдокода. Простейшие алгоритмические задачи. Перевод алгоритма в код. Подпрограммы (функции) как основные блоки кода. Типовые задачи на обработку текста.
1.5 Понятие массива. Типовые задачи с массивами: доступ к элементу, обход элементов, инициализация элементов.
1.6 Простейшие конструкции данных: список, стек, очередь, дерево. Поиск элемента и сортировка элементов. Реализация динамического стека.
1.7 Установка интерпретатора Python. Основные операции и типы данных. Операторы ветвления и циклы. Установка и запуск среды разработки. Типы данных: числа, строки, списки, логический тип, None. Функции преобразования типов. Простой ввод и простой вывод
1.8 Cтроки. Методы и функции. Использование срезов. Кортеж. Основные операции с кортежем. Распаковка кортежа. Список. Основные операции со списком. Словарь. Основные операции со словарем. Множества. Основные операции с множеством
1.9 Ветвления. Оператор if. Базовая форма цикла while. Операторы break и continue. Перебор (for). Генераторы словарей, списков, множеств
2.1. Основные концепции DevSecOps.
Тренды разработки современного ПО (внедрение практик DevOps, снижение общих сроков разработки ПО (time to market), повышение гибкости в разработке ПО, переход от монолитных к микросервисным приложениям, динамическое выделение ИТ-ресурсов, повышение внимания к вопросам разработки безопасного ПО).
Основные понятия и определения DevOps и DevSecOps.
Ключевые компоненты DevSecOps (анализ кода, управление изменениями, мониторинг соотвествия, иследование угроз безопасности, оценка уязвимости кода, обучение и повышение осведомленности)
Основные этапы DevSecOps (разработка приложения и работа с репозиторием программ, непрерывная интеграция (CI) и тестирование приложения, непрерывное развертывание (CD) приложения в рабочей среде, контроль новой версии приложения в рабочей среде).
Возможные сценарии интеграции DevSecOps в процессы и инфраструктуру компании.
Адаптации функции кибербезопасности и интеграции DevSecOps.
Проведение оценки безопасности процесса разработки, а также идентификация ключевых рисков и риск-факторов, связанных с недостатками процесса.
Ключевые точки процесса разработки, где необходимо включение мер безопасности.
Информирование сотрудников о критических рисках и мерах для их снижения.
2.2. Основные практики DevSecOps. Моделирование угроз безопасности (Threat modeling).
Контроль компонент с открытым исходным кодом (Open Source Analysis, OSA).
Статический анализ кода (Static Application Security Testing, SAST).
Контроль состава компонент ПО (Software Composition Analysis, SCA).
Динамический анализ кода (Dynamic Application Security Testing, DAST/Interactive Application Security Testing, IAST/Behavioral Application Security Testing, BAST).
Фаззинг-тестирование (fuzzing).
Анализ бинарного кода и контроль состава контейнеров (Bytecode and Container Analysis, BCA).
Решения для выявления и нейтрализации уязвимостей программного кода.
Реализация WAF (Web Application Firewall).
2.3 Трансформация DevOps в DevSecOps. Использование безопасных по умолчанию библиотек, фреймворков и компонент ПО в процессе разработки (Secure-by-Default).
Интеграция технологических практик ИБ в начало конвейера CI/CD (Shift-Left подход).
Автоматизация процессов в концепции Everything-as-a-Code.
Формирование сообщества security-чемпионов в производственных командах для повышения инженерной security-культуры.
Применение модели зрелости DevSecOps для оценки существующего процесса и для постоянного совершенствования.
Обеспечение прозрачности security активностей для участников инженерного производственного процесса.
DevSecOps-оркестрация (Application Security Testing Orchestration, ASTO) для непрерывного улучшения процесса разработки безопасного ПО.
2.4 Национальные требования (ГОСТ Р 56939-2016 и ГОСТ Р ИСО/МЭК 12207) в части разработки безопасного ПО.
Требования в части идентификации и аутентификации.
Требования по защите от несанкционированного доступа к информации.
Требования в части регистрации событий безопасности.
Требования контроля точности, полноты и правильности входных и выходных данных.
Требования по обработке программных ошибок и исключительных ситуаций.
Требования класса ASE "Оценка задания по безопасности" (ГОСТ Р ИСО/МЭК 15408-3).
Меры по разработке безопасного программного обеспечения, реализуемые при выполнении инсталляции программы и поддержки приемки программного обеспечения.
Меры по разработке безопасного программного обеспечения, реализуемые при решении проблем в программном обеспечении в процессе эксплуатации.
Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента инфраструктурой среды разработки программного обеспечения.
2.5 Роли и кадровое обеспечение DevSecOps.
Принятие методологии разработки безопасного ПО, DevSecOps (оценка текущих мер безопасности и распределение ролей в команде разработки ПО, внедрение мер безопасности на стадии проектирования программных систем, внедрение инструментов и авто-тестов безопасности в пайплайн, тестирование безопасности разработанных решений, анализ выявленных уязвимостей и подготовка рекомендаций по их устранению, обучение лучшим практикам разработки безопасного ПО, Best Practices).
Распределение ролей в процессе DevSecOps (продакт менеджер, архитектор, команда разработки, QA, AppSec специалист, DevOps инженер).
Воспитание чемпионов безопасности Security Champions (масштабирование безопасности с помощью нескольких команд разработки, привлечение сотрудников, не связанных с безопасностью, но связанных с DevOps, создание и развитие культуры безопасности).
Повышение осведомленности по вопросам разработки безопасного ПО.
Развитие корпоративной культуры DevSecOps и безопасности в целом.
Тренды разработки современного ПО (внедрение практик DevOps, снижение общих сроков разработки ПО (time to market), повышение гибкости в разработке ПО, переход от монолитных к микросервисным приложениям, динамическое выделение ИТ-ресурсов, повышение внимания к вопросам разработки безопасного ПО).
Основные понятия и определения DevOps и DevSecOps.
Ключевые компоненты DevSecOps (анализ кода, управление изменениями, мониторинг соотвествия, иследование угроз безопасности, оценка уязвимости кода, обучение и повышение осведомленности)
Основные этапы DevSecOps (разработка приложения и работа с репозиторием программ, непрерывная интеграция (CI) и тестирование приложения, непрерывное развертывание (CD) приложения в рабочей среде, контроль новой версии приложения в рабочей среде).
Возможные сценарии интеграции DevSecOps в процессы и инфраструктуру компании.
Адаптации функции кибербезопасности и интеграции DevSecOps.
Проведение оценки безопасности процесса разработки, а также идентификация ключевых рисков и риск-факторов, связанных с недостатками процесса.
Ключевые точки процесса разработки, где необходимо включение мер безопасности.
Информирование сотрудников о критических рисках и мерах для их снижения.
2.2. Основные практики DevSecOps. Моделирование угроз безопасности (Threat modeling).
Контроль компонент с открытым исходным кодом (Open Source Analysis, OSA).
Статический анализ кода (Static Application Security Testing, SAST).
Контроль состава компонент ПО (Software Composition Analysis, SCA).
Динамический анализ кода (Dynamic Application Security Testing, DAST/Interactive Application Security Testing, IAST/Behavioral Application Security Testing, BAST).
Фаззинг-тестирование (fuzzing).
Анализ бинарного кода и контроль состава контейнеров (Bytecode and Container Analysis, BCA).
Решения для выявления и нейтрализации уязвимостей программного кода.
Реализация WAF (Web Application Firewall).
2.3 Трансформация DevOps в DevSecOps. Использование безопасных по умолчанию библиотек, фреймворков и компонент ПО в процессе разработки (Secure-by-Default).
Интеграция технологических практик ИБ в начало конвейера CI/CD (Shift-Left подход).
Автоматизация процессов в концепции Everything-as-a-Code.
Формирование сообщества security-чемпионов в производственных командах для повышения инженерной security-культуры.
Применение модели зрелости DevSecOps для оценки существующего процесса и для постоянного совершенствования.
Обеспечение прозрачности security активностей для участников инженерного производственного процесса.
DevSecOps-оркестрация (Application Security Testing Orchestration, ASTO) для непрерывного улучшения процесса разработки безопасного ПО.
2.4 Национальные требования (ГОСТ Р 56939-2016 и ГОСТ Р ИСО/МЭК 12207) в части разработки безопасного ПО.
Требования в части идентификации и аутентификации.
Требования по защите от несанкционированного доступа к информации.
Требования в части регистрации событий безопасности.
Требования контроля точности, полноты и правильности входных и выходных данных.
Требования по обработке программных ошибок и исключительных ситуаций.
Требования класса ASE "Оценка задания по безопасности" (ГОСТ Р ИСО/МЭК 15408-3).
Меры по разработке безопасного программного обеспечения, реализуемые при выполнении инсталляции программы и поддержки приемки программного обеспечения.
Меры по разработке безопасного программного обеспечения, реализуемые при решении проблем в программном обеспечении в процессе эксплуатации.
Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента инфраструктурой среды разработки программного обеспечения.
2.5 Роли и кадровое обеспечение DevSecOps.
Принятие методологии разработки безопасного ПО, DevSecOps (оценка текущих мер безопасности и распределение ролей в команде разработки ПО, внедрение мер безопасности на стадии проектирования программных систем, внедрение инструментов и авто-тестов безопасности в пайплайн, тестирование безопасности разработанных решений, анализ выявленных уязвимостей и подготовка рекомендаций по их устранению, обучение лучшим практикам разработки безопасного ПО, Best Practices).
Распределение ролей в процессе DevSecOps (продакт менеджер, архитектор, команда разработки, QA, AppSec специалист, DevOps инженер).
Воспитание чемпионов безопасности Security Champions (масштабирование безопасности с помощью нескольких команд разработки, привлечение сотрудников, не связанных с безопасностью, но связанных с DevOps, создание и развитие культуры безопасности).
Повышение осведомленности по вопросам разработки безопасного ПО.
Развитие корпоративной культуры DevSecOps и безопасности в целом.
Стоимость курса
147 000 ₽ 95 550 ₽
для физических лиц
для физических лиц
149 000 ₽ для юридических лиц
Доступна рассрочка на весь период обучения напрямую от Академии АйТи, без банковских кредитов.
Также доступен индивидуальный план предоплаты — вы можете начать оплачивать обучение в рассрочку за 3-6 месяцев до старта курса.
Также доступен индивидуальный план предоплаты — вы можете начать оплачивать обучение в рассрочку за 3-6 месяцев до старта курса.
Доступна рассрочка на весь период обучения напрямую от Академии АйТи, без банковских кредитов.
Также доступен индивидуальный план предоплаты — вы можете начать оплачивать обучение в рассрочку за 3-6 месяцев до старта курса.
Также доступен индивидуальный план предоплаты — вы можете начать оплачивать обучение в рассрочку за 3-6 месяцев до старта курса.
Преподаватели
- Сергей Боронин
Сертифицированный инструктор по Linux, информационной безопасности, эксперт по администрированию сетей и разработке программного обеспечения
- Сергей ГерасименкоЭксперт по разработке приложений с использованием Java и Spring Boot, преподаватель учебных дисциплин по веб-программированию (JS,PHP,Python,Node JS, VUE, React, Spring Web)
- Сергей Боронин
Сертифицированный инструктор по Linux, информационной безопасности, эксперт по администрированию сетей и разработке программного обеспечения
- Сергей ГерасименкоЭксперт по разработке приложений с использованием Java и Spring Boot, преподаватель учебных дисциплин по веб-программированию (JS,PHP,Python,Node JS, VUE, React, Spring Web)
Слушателям, успешно освоившим программу профессиональной переподготовки и прошедшим итоговую аттестацию, выдаётся Диплом о профессиональной переподготовке, установленного образца.
Слушателям, успешно освоившим программу профессиональной переподготовки и прошедшим итоговую аттестацию, выдаётся Диплом о профессиональной переподготовке, установленного образца.
Программа разработана на основании профессионального стандарта № 679н «Программист», утвержденный 18.11.2013 г.
Программа разработана на основании профессионального стандарта № 679н «Программист», утвержденный 18.11.2013 г.
Об Академии АйТи
28+ лет опыта
Академия АйТи — один из лидирующих центров корпоративного и индивидуального образования
в области IT в России и СНГ.
Академия проводит масштабные образовательные проекты, профессиональную переподготовку, программы повышения квалификации для лидеров, проектных менеджеров и специалистов по цифровой трансформации.
Академия АйТи — один из лидирующих центров корпоративного и индивидуального образования
в области IT в России и СНГ.
Академия проводит масштабные образовательные проекты, профессиональную переподготовку, программы повышения квалификации для лидеров, проектных менеджеров и специалистов по цифровой трансформации.
Экосистема Софтлайн
Академия АйТи входит в экосистему Академии Softline.
Надежность и качество
Академия занимает 1-е место по качеству организации дополнительного образования в рейтинге EdTech 2022.
15 000+
Корпоративных и государственных заказчиков.
Академия АйТи входит в экосистему Академии Softline.
Надежность и качество
Академия занимает 1-е место по качеству организации дополнительного образования в рейтинге EdTech 2022.
15 000+
Корпоративных и государственных заказчиков.
28+ лет опыта
Академия АйТи — один из лидирующих центров корпоративного и индивидуального образования
в области IT в России и СНГ.
Академия проводит масштабные образовательные проекты, профессиональную переподготовку, программы повышения квалификации для лидеров, проектных менеджеров и специалистов по цифровой трансформации.
Академия АйТи — один из лидирующих центров корпоративного и индивидуального образования
в области IT в России и СНГ.
Академия проводит масштабные образовательные проекты, профессиональную переподготовку, программы повышения квалификации для лидеров, проектных менеджеров и специалистов по цифровой трансформации.
Экосистема Софтлайн
Академия АйТи входит в экосистему Академии Softline.
Надежность и качество
Академия занимает 1-е место по качеству организации дополнительного образования в рейтинге EdTech 2022.
15 000+
Корпоративных и государственных заказчиков.
Академия АйТи входит в экосистему Академии Softline.
Надежность и качество
Академия занимает 1-е место по качеству организации дополнительного образования в рейтинге EdTech 2022.
15 000+
Корпоративных и государственных заказчиков.
Менеджер свяжется с вами в ближайшее время и поможет ответить на все вопросы
Менеджер свяжется с вами в ближайшее время и поможет ответить на все вопросы
ОБРАЗОВАТЕЛЬНАЯ ЭКОСИСТЕМА
ИНФОБЕЗ:
Через обучение - к успеху! Знания работают на вас
© 1995–2024 Академия АйТи
РАЗРАБОТКА И ТЕСТИРОВАНИЕ: