Implementação e trabalho em DevSecOps - curso 88.000 rublos. da Otus, treinamento de 5 meses, data 30 de outubro de 2023.
Miscelânea / / November 30, 2023
Hoje enfrentamos constantemente ataques de hackers, fraudes de e-mail e vazamentos de dados. O trabalho online tornou-se uma exigência empresarial e uma nova realidade. Desenvolver e manter códigos e proteger a infraestrutura tendo a segurança em mente está se tornando um requisito fundamental para especialistas de TI. São esses especialistas os mais bem pagos e procurados entre os grandes empregadores: Microsoft, Google, Amazon Web Services, Mail. Grupo Ru, Yandex, Sberbank e outros.
Para quem é este curso?
O desenvolvimento de infraestrutura e pilhas de aplicativos no fluxo contínuo de mudanças do Agile DevOps requer trabalho contínuo com ferramentas de segurança da informação. O modelo tradicional de segurança focado no perímetro não funciona mais. No DevOps, a responsabilidade pela segurança recai sobre todos os participantes do processo Dev[Sec]Ops.
O curso é destinado a especialistas nos seguintes perfis:
- Desenvolvedores
- Engenheiros e administradores DevOps
- Testadores
- Arquitetos
- Especialistas em segurança da informação
- Especialistas que desejam aprender a desenvolver e manter aplicações e infraestruturas com alto grau de proteção contra ataques externos e internos em um processo DevSecOps automatizado.
Objetivo do Curso
A implementação bem-sucedida de DevSecOps só é possível com uma abordagem integrada de ferramentas, processos de negócios e pessoas (funções dos participantes). O curso fornece conhecimento sobre todos os três elementos e foi originalmente desenvolvido para apoiar a cadeia de ferramentas de CI/CD e o projeto de transformação do trabalhador. Processo DevOps para uma prática completa de DevSecOps usando as mais recentes ferramentas de segurança automatizadas.
O curso cobrirá os recursos de segurança dos seguintes tipos de aplicativos:
- Aplicações monolíticas tradicionais de 2/3 camadas
- Aplicativos Kubernetes - em seu próprio DC, nuvem pública (EKS, AKS, GKE)
- Aplicativos móveis iOS e Android
- Aplicações com back-end REST API
Serão consideradas a integração e o uso das ferramentas de segurança da informação comerciais e de código aberto mais populares.
O curso enfatiza as práticas Scrum/Kanban, mas as abordagens e ferramentas também podem ser utilizadas no modelo tradicional de gerenciamento de projetos em cascata.
Conhecimentos e habilidades que você irá adquirir
- Transição do modelo de segurança de “proteção perimetral” para o modelo de “proteção de todas as camadas”
- Dicionário, termos e objetos utilizados em ferramentas de segurança da informação – CWE, CVE, Exploit, etc.
- Padrões básicos, métodos, fontes de informação - OWASP, NIST, PCI DSS, CIS, etc.
Eles também aprenderão como integrar-se ao CI/CD e usar ferramentas de segurança da informação das seguintes categorias:
- Análise de possíveis ataques (Threat Modeling)
- Análise estática de código fonte para segurança (SAST)
- Análise dinâmica de segurança de aplicações (IAST/DAST)
- Análise do uso de software de terceiros e de código aberto (SCA)
- Testar a configuração quanto à conformidade com os padrões de segurança (CIS, NIST, etc.)
- Proteção de configuração, aplicação de patches
- Aplicação de gerenciamento de segredos e certificados
- Aplicação de proteção para REST-API dentro de aplicativos de microsserviços e no back-end
- Aplicação de Firewall de Aplicativo Web (WAF)
- Firewalls de próxima geração (NGFW)
- Testes de penetração manuais e automatizados (Penetration Testing)
- Monitoramento de segurança e resposta a eventos em segurança da informação (SIEM)
- Análise forense
Além disso, os líderes de equipe receberão recomendações sobre práticas para implementar DevSecOps com sucesso:
- Como preparar e conduzir com sucesso um mini-concurso e PoC para a seleção de ferramentas
- Como mudar os papéis, estrutura e áreas de responsabilidade das equipes de desenvolvimento, suporte e segurança da informação
- Como adaptar processos de negócios de gestão de produtos, desenvolvimento, manutenção, segurança da informação
2
cursoAo longo de 12 anos de atuação em TI, consegui atuar como desenvolvedor, testador, engenheiro devops e devsecops em empresas como NSPK (desenvolvedora da placa MIR), Kaspersky Lab, Sibur e Rostelecom. No momento eu...
Ao longo de 12 anos de atuação em TI, consegui atuar como desenvolvedor, testador, engenheiro devops e devsecops em empresas como NSPK (desenvolvedora da placa MIR), Kaspersky Lab, Sibur e Rostelecom. Atualmente sou chefe de desenvolvimento seguro na Digital Energy (grupo de empresas Rostelecom) Minha experiência prática é baseada no conhecimento das linguagens C#, F#, dotnet core, python, desenvolvimento e integração de diversas ferramentas práticas de DevOps e DevSecOps (SAST/SCA, DAST/IAST, varredura de aplicações web, análise de infraestrutura, varredura móvel formulários). Tenho vasta experiência em implantação e suporte a clusters k8s e trabalho com provedores de nuvem. Realizo auditorias de segurança e implanto malhas de serviço. Sou autor de meus próprios cursos sobre programação, testes, bancos de dados relacionais e não relacionais, trabalho com provedores de nuvem e administração de servidores bare-metal. Palestrante em conferências internacionais.
1
bemAnalista de Segurança da Informação, Sovcombank
Experiência em segurança da informação desde 2018 Especialização: - Controle de segurança de infraestrutura - Construção de processos de gerenciamento de vulnerabilidades para diversas plataformas (microsserviços e DevOps, Host OS, equipamentos de rede OS, Mobile, DB, Virtualização) - Gestão de políticas e requisitos de segurança da informação dentro de infraestrutura e projetos desenvolvimento. Professor
1
bemAudita redes comerciais desde 2017. Participou do desenvolvimento de um modelo de segurança para o banco interestadual da Ucrânia "AT Oschadbank" A principal característica do teste é o pentest usando o método "caixa preta". Trabalhando com python e bush desde 2016...
Audita redes comerciais desde 2017. Participou do desenvolvimento de um modelo de segurança para o banco interestadual da Ucrânia "AT Oschadbank"A principal característica do teste é pentest usando o método "caixa preta"Trabalho com python e bush desde 2016Experiência em trabalhar com sistemas unix, em particular distribuições baseadas em Debian. Professor
Base de conhecimento de segurança da informação
-Tópico 1. Dicionário, termos, padrões, métodos, fontes de informação utilizadas em ferramentas de segurança da informação
-Tópico 2. Princípios básicos para garantir a segurança da informação da pilha e infraestrutura de aplicativos
Visão geral da vulnerabilidade OWASP
-Tópico 3. Análise das 10 principais vulnerabilidades da Web do OWASP
-Tópico 4. Análise das 10 principais vulnerabilidades do OWASP - API REST
Recursos de desenvolvimento de código seguro e uso de frameworks
-Tópico 5. Desenvolvimento seguro em HTML/CSS e PHP
-Tópico 6. Desenvolvimento seguro e vulnerabilidades de código de software
-Tópico 7. Desenvolvimento seguro em Java/Node.js
-Tópico 8. Desenvolvimento seguro em .NET
-Tópico 9. Desenvolvimento seguro em Ruby
Desenvolvimento de contêineres seguros e aplicativos sem servidor
-Tópico 10. Garantindo a segurança no sistema operacional Linux
-Tópico 11. Garantindo a segurança em contêineres Docker
-Tópico 12. Protegendo o Kubernetes
Integração e trabalho com ferramentas de segurança da informação dentro do DevSecOps
-Tópico 13. Garantindo a segurança do conjunto de ferramentas de CI/CD e do processo DevOps
-Tópico 14. Revisão das ferramentas DevSecOps
-Tópico 15. Análise de segurança do código fonte (SAST/DAST/IAST)
-Tópico 16.Usando proteção para REST-API dentro de aplicativos de microsserviços e no back-end.
-Tópico 17.Uso de Web-Application Firewall (WAF) para proteção da Web, API REST, proteção de bot.
-Tópico 18.Ferramentas modernas de segurança de perímetro de rede (NGFW/Sandbox)
-Tópico 19. Modelagem de ameaças e testes de penetração
-Tópico 20. Monitoramento de segurança e resposta a eventos em segurança da informação (SIEM/SOAR)
-Tópico 21. Plano de projeto e metodologia para transformar uma organização em DevSecOps.
Módulo de projeto
-Tema 22.Selecionando um tema
-Tópico 23. Consultas e discussões sobre o trabalho do projeto
-Tópico 24.Proteção de projetos