Курсы по SAST/DAST

Для кого этот курс? Наш курс подходит тем, кто хочет разрабатывать и обслуживать приложения и инфраструктуру с высокой степенью защиты от внешних и внутренних атак  А именно: Разработчикам: освоите навыки безопасной разработки, сможете сделать вашу роль в команде более значимойДевопс-инженерам и администраторам: научитесь обеспечивать безопасность инфраструктурыТестировщикам: сможете переквалифицироваться в специалиста по поиску уязвимостейАрхитекторам: взгляните на безопасность по-новомуИБ-специалистам: сможете лучше понимать ландшафт киберугроз Необходимые знания Вы обслуживали приложения в CI и CD, использовали GitLab и JenkinsРаботали с Git: GitHub, GitLabРаботали с инструментами автоматизации конфигурации: Ansible, Chef Что вам даст этот курс? Сегодня мы постоянно сталкиваемся с хакерскими атаками, электронным мошенничеством и утечками данных. Интегрировать тестирование безопасности во все этапы разработки ПО – первостепенно важно для IT-специалиста Вы научитесь: Переходить от модели «защита периметра» к модели «построение безопасности процесса разработки»Выявлять и устранять уязвимости на всех этапах: от проектирования архитектуры до вывода в productionИнтегрировать в CI/CD и использовать следующие ИБ-инструменты:анализ возможных атакпроверку исходного кода на безопасность (SAST)защиту для REST API внутри микросервисных приложений и на бэкендефаервол для веб-приложений (WAF)межсетевые экраны нового поколения (NGFW)ручное и автоматизированное тестирование на проникновениемониторинг безопасности и реагирование на события в ИБ (SIEM)

Защитите свои проекты на всех этапах разработки, обучившись навыкам внедрения DevSecOps. Узнайте, как интегрировать безопасность в CI/CD конвейеры и сканировать уязвимости. Практические задания помогут вам стать экспертом в области обеспечения безопасности программного обеспечения.

• Культура DevSecOps: DevOps+безопасность.
• Нормативная база.
• Безопасная настройка ОС Linux.
• Настройка привилегированных учетных записей.
• Поднятие привилегий.
• Безопасная настройка сети.
• Защита на периметре и внутри сети.
• Средства межсетевого экранирования, IDS, NGFW, WAF, PAM.
• Безопасная работа с Docker.
• Настройки среды контейнеризации.
• Создание образов.
• Оптимизация инструкций.
• Настройка аккаунта для работы в контейнере.
• Использование линтеров.
• Сканирование на уязвимости.
• Сетевое взаимодействие между контейнерами.
• Обеспечение безопасности в Kubernetes.
• Пространства имен.
• Ролевая модель управления доступом.
• Pod Security Admission.
• Защита etcd.
• Безопасность транспортного уровня.
• Сети Istio.
• Уязвимости OWASP TOP-10.
• Безопасность веб-приложений.
• Практика: сканирование тестового уязвимого приложения на уязвимости.
• Эксплуатация найденных уязвимостей.
• XSS, SQL инъекции, некорректные настройки безопасности веб-ресурсов.
• Рассмотрение способов закрытия найденных уязвимостей.
• CI/CD. Непрерывная интеграция.
• Этапы работы конвейера CI/CD.
• Болевые точки CI/CD.
• 12 факторов для эффективной разработки.
• Безопасность CI/CD.
• Основные инструменты. Jenkins.
• Конфигурации. IaC. Документирование.
• Практика: работа с Git.
• Работа с Ansible.
• Использование анализаторов исходного кода для различных языков программирования.
• Создание соответствующей задачи в конвейере Jenkins.
• Модель качества.
• Виды тестов, фаззинг, DAST, IAST, инструментация, Quality Gate.
• Сканирование приложения на уязвимости.
• Continuous Delivery, Continuous Deployment.
• Безопасность на этапе выпуска.
• Безопасное хранение артефактов.
• Обеспечение надежности при непрерывной доставке и развертывании.
• Мониторинг безопасности работы приложения.
• Решения класса SIEM, EDR.
• Архитектура и основные принципы работы SIEM Wazuh.
• Демонстрация работы Wazuh.
• Будущее DevSecOps.
• Перспективы развития DevSecOps.
• Тенденции на рынке.
• ГОСТ Р56939 в новой редакции 2024.

Как научить коллег делать безопасный прод? Как обеспечить секьюрность на самых начальных этапах и как поменять майндсет ваших горячо любимых коллег? Об этом наш курс.