SECR-013 Практическое внедрение DevSecOps-инструментов в процессы разработки ПО

Овладейте DevSecOps: получите знания по внедрению DevSecOps-инструментов и созданию безопасных веб- и serverless- приложений, CI/CD конвейеров, внедрению средств защиты. Вы изучите решения по обеспечению безопасности, такие как metasploit, clair, trivy, SAST и DAST анализаторы. Курс также включает описание схемы DevSecOps-конвейера, процесс внедрения инструментов и будущие тенденции в области безопасности.

• Безопасная настройка ОС Linux. Настройка привилегированных учетных записей. Поднятие привилегий.
• Практика: Развертывание контейнера с Ubuntu. Сканирование на уязвимости ОС Ubuntu. Настройка учетных записей с заданным набором прав доступа. [теория — 1 час; практика — 1 час]
• Безопасная настройка сети. Защита на периметре и внутри сети. Средства межсетевого экранирования, IDS, NGFW, WAF, PAM.
• Практика: настройка iptables по заданному набору правил. Настройка WAF из контейнера. [теория — 1 час; практика — 2 часа]
• Безопасная работа с Docker. Настройки среды контейнеризации. Создание образов. Оптимизация инструкций. Настройка аккаунта для работы в контейнере. Использование линтеров. Сканирование на уязвимости. Сетевое взаимодействие между контейнерами.
• Практика: создание образа с помощью Dockerfile. Использование безопасных настроек и оптимизация. Сканирование на уязвимости. Настройка безопасного взаимодействия между контейнерами по сети. [теория — 1,5 часа; практика — 2 часа]
• Обеспечение безопасности в Kubernetes. Пространства имен. Ролевая модель управления доступом. Pod Security Admission. Защита etcd. Безопасность транспортного уровня. Сети Istio.
• Практика: Настройка пространств имен, настройка доступа, создание сервиса средствами Kubernetes и настройка сетевого взаимодействия с помощью сервисных сетей Istio. [теория — 1,5 часа; практика — 2 часа]
• Безопасность веб приложений. Уязвимости OWASP TOP-10.
• Практика: Сканирование тестового уязвимого приложения на уязвимости. Эксплуатация найденных уязвимостей. Рассмотрение способов закрытия найденных уязвимостей. [теория — 2 часа; практика — 2 часа]
• Этапы работы конвейера CI/CD. Среды разработки, тестирования, QA, продакшен. Основные инструменты. Git, Jenkins, Kubernetes, Docker, инструменты разработки и тестирования.
• Практика: Развертывание контейнера с Jenkins. Настройка агентов. Выполнение сборки. [теория — 1 час; практика — 1 час]
• Безопасность на этапе разработки и сборки. SSDLC, SAST, SCA, DAST анализ. Встраиваем в конвейер CI/CD.
• Практика: Использование анализаторов исходного кода для различных языков программирования. Создание соответствующей задачи в конвейере Jenkins. [теория — 1 час; практика — 2 часа]
• Безопасность на этапе тестирования. Виды тестов, фаззинг, тестирование на проникновение. Знакомство с Kali Linux. Сканирование приложения на уязвимости.
• Практика: Установка сканера уязвимостей, пентест тестового контейнера с уязвимостями. Эксплуатация уязвимостей. [теория — 1 час; практика — 2 часа]
• Безопасность на этапе выпуска. Безопасное хранение артефактов, Обеспечение надежности при непрерывной доставке и развертывании.
• Практика: Создание собственного репозитория образов. Добавляем в конвейер задачу по сборке и обновлению артефакта без остановки работы приложения. [теория — 1 час; практика — 2 часа]
• Мониторинг безопасности работы приложения. Решения класса SIEM, EDR. Архитектура и основные принципы работы.
• Практика: развертывание SIEM Wazuh. Настройки аудита и подключение источника событий к SIEM. [теория — 1 час; практика — 2 часа]
• Перспективы развития DevSecOps.
• Тенденции на рынке ГОСТ Р56939 в новой редакции 2024 [теория — 1 час]