DevSecOps: практика безопасной разработки

Программа обучения

• Работа с оболочкой Bash96 часов

  • Переменные и условные операторы
  • Циклы и функции
  • Regexp и его использование для синтаксического анализа
  • Работа с текстовыми утилитами
  • Разбор скриптов и их написание

• Безопасность операционных систем39 часов

  • Linux Hardening. Пользователи и права доступа
  • PAM
  • Настройка подсистемы SELinux
  • Средства защиты Linux Hardening
  • Linux. Дополнительные настройки системы
  • Linux Hardening. Лог-файлы и средства резервного копирования
  • Криптография в Linux

• Организация и функционирование компьютерных сетей85 часов

  • Модель OSI и модель TCP\IP
  • Канальный и физический уровни модели OSI
  • Сетевой уровень модели OSI
  • Транспортный уровень модели OSI
  • Протоколы уровня приложений
  • Технология трансляции сетевых адресов (NAT)
  • Динамическая маршрутизация. Протоколы внутреннего шлюза
  • Использование IPv6

• Введение в технологии контейнеризации: Docker, Kubernetes и основы работы с контейнерами11 часов

  • Docker и микросервисная
  • Kubernetes
  • Ansible
  • CI/CD

• Безопасный жизненный цикл разработки ПО (SSDLC)15 часов

  • Введение в DevOps
  • Цикл SSDLC
  • Нормативные аспекты и стандарты безопасной разработки
  • Цикл SSDLC, примеры популярных атак на цепочку поставок, Обзор фреймворков
  • CI/CD: непрерывная интеграция, доставка и развертывание
  • Практики AppSec

• Разработка защищенных программных систем26 часов

  • Введение в тему безопасности веб-приложений
  • Протоколы веб: HTTP/HTTPS, SSL/TLS
  • Природа уязвимостей веб-приложений CSRF, CORS, XSS: виды атак и методы защиты
  • OWASP Top 10: самые опасные уязвимости веб-приложений
  • SQL Injection: сущность и защита
  • Инструменты OWASP для тестирования безопасности
  • Проблемы безопасности прикладной криптографии
  • Моделирование угроз и оценка рисков
  • Тестирование безопасности

• Технологии контейнеризации и оркестрации26 часов

  • Основы операционной системы Linux
  • Введение в Kubernetes
  • Управление приложениями в Kubernetes
  • Сетевые технологии в Kubernetes и DNS
  • Хранение данных и управление состоянием
  • Внутренняя работа Kubernetes и kubelet
  • Масштабирование и мониторинг (OPS)
  • Безопасность в Kubernetes (SEC)
  • CI/CD и GitOps (CD)

• Итоговая аттестация4 часа

  Междисциплинарный экзамен