Учебный центр IBS

SECR-013 Практическое внедрение DevSecOps-инструментов в процессы разработки ПО

Начало: По факту набора потока
Длительность: 2 недели
СертификатОнлайн

Описание курса

Овладейте DevSecOps: получите знания по внедрению DevSecOps-инструментов и созданию безопасных веб- и serverless- приложений, CI/CD конвейеров, внедрению средств защиты. Вы изучите решения по обеспечению безопасности, такие как metasploit, clair, trivy, SAST и DAST анализаторы. Курс также включает описание схемы DevSecOps-конвейера, процесс внедрения инструментов и будущие тенденции в области безопасности.

  • Безопасная настройка ОС Linux. Настройка привилегированных учетных записей. Поднятие привилегий.
  • Практика: Развертывание контейнера с Ubuntu. Сканирование на уязвимости ОС Ubuntu. Настройка учетных записей с заданным набором прав доступа. [теория — 1 час; практика — 1 час]
  • Безопасная настройка сети. Защита на периметре и внутри сети. Средства межсетевого экранирования, IDS, NGFW, WAF, PAM.
  • Практика: настройка iptables по заданному набору правил. Настройка WAF из контейнера. [теория — 1 час; практика — 2 часа]
  • Безопасная работа с Docker. Настройки среды контейнеризации. Создание образов. Оптимизация инструкций. Настройка аккаунта для работы в контейнере. Использование линтеров. Сканирование на уязвимости. Сетевое взаимодействие между контейнерами.
  • Практика: создание образа с помощью Dockerfile. Использование безопасных настроек и оптимизация. Сканирование на уязвимости. Настройка безопасного взаимодействия между контейнерами по сети. [теория — 1,5 часа; практика — 2 часа]
  • Обеспечение безопасности в Kubernetes. Пространства имен. Ролевая модель управления доступом. Pod Security Admission. Защита etcd. Безопасность транспортного уровня. Сети Istio.
  • Практика: Настройка пространств имен, настройка доступа, создание сервиса средствами Kubernetes и настройка сетевого взаимодействия с помощью сервисных сетей Istio. [теория — 1,5 часа; практика — 2 часа]
  • Безопасность веб приложений. Уязвимости OWASP TOP-10.
  • Практика: Сканирование тестового уязвимого приложения на уязвимости. Эксплуатация найденных уязвимостей. Рассмотрение способов закрытия найденных уязвимостей. [теория — 2 часа; практика — 2 часа]
  • Этапы работы конвейера CI/CD. Среды разработки, тестирования, QA, продакшен. Основные инструменты. Git, Jenkins, Kubernetes, Docker, инструменты разработки и тестирования.
  • Практика: Развертывание контейнера с Jenkins. Настройка агентов. Выполнение сборки. [теория — 1 час; практика — 1 час]
  • Безопасность на этапе разработки и сборки. SSDLC, SAST, SCA, DAST анализ. Встраиваем в конвейер CI/CD.
  • Практика: Использование анализаторов исходного кода для различных языков программирования. Создание соответствующей задачи в конвейере Jenkins. [теория — 1 час; практика — 2 часа]
  • Безопасность на этапе тестирования. Виды тестов, фаззинг, тестирование на проникновение. Знакомство с Kali Linux. Сканирование приложения на уязвимости.
  • Практика: Установка сканера уязвимостей, пентест тестового контейнера с уязвимостями. Эксплуатация уязвимостей. [теория — 1 час; практика — 2 часа]
  • Безопасность на этапе выпуска. Безопасное хранение артефактов, Обеспечение надежности при непрерывной доставке и развертывании.
  • Практика: Создание собственного репозитория образов. Добавляем в конвейер задачу по сборке и обновлению артефакта без остановки работы приложения. [теория — 1 час; практика — 2 часа]
  • Мониторинг безопасности работы приложения. Решения класса SIEM, EDR. Архитектура и основные принципы работы.
  • Практика: развертывание SIEM Wazuh. Настройки аудита и подключение источника событий к SIEM. [теория — 1 час; практика — 2 часа]
  • Перспективы развития DevSecOps.
  • Тенденции на рынке ГОСТ Р56939 в новой редакции 2024 [теория — 1 час]

Отзывы о курсе

Отзывов пока нет
Будьте первым, напишите отзыв и поставьте оценку этому курсу.