Личный кабинет
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Заказать звонок
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
DevSecOps Deep Dive
Пройдите полный путь от внедрения инструментов безопасности до выстраивания полноценных процессов. Получите опыт внедрения комплексных мер по защите продукта, внедряемых на всех этапах его разработки
Online
Практический курс по построению процессов безопасной разработки
Старт группы
22 ноября
22 ноября
Длительность
3 месяца
3 месяца
Партнёры курса
Кому подходит курс
DevOps- и инфраструктурным инженерам, которые хотят встроить контроли безопасности в свои процессы и освоить DevSecOps-практики
Начинающим DevSecOps-специалистам, которым нужно системное понимание, практические сценарии и уверенность для выхода на уровень middle
Инженерам по безопасности, которым необходимо получить комплексный взгляд на реализацию процессов безопасной разработки
После успешного прохождения курса выдаётся удостоверение о повышении квалификации и электронный сертификат
Вы научитесь:
-
Настраивать и использовать инструменты SAST (Semgrep, CodeQL) - Применять и настраивать ASOC (Application Security Orchestration and Correlation)
- Интегрировать SAST в CI/CD на разных этапах разработки
- Управлять активами (Asset Management) и приоритизировать уязвимости
- Настраивать Security Quality Gate для блокировки небезопасного кода
- Использовать инструменты для анализа/управления зависимостями (SCA/OSA).
- Подписывать артефакты для обеспечения их целостности на всех этапах разработки.
- Настраивать Kyverno для реализации Pod Security Standards.
- Настраивать SCM и CI/CD исходя из лучших практик ИБ.
- Внедрять Falco для детектирования аномалий в Kubernetes.
- Использовать секреты в CI безопасно, а также управлять секретами в Kubernetes.
- Организовывать комплексную защиту рантайма (seccomp + Falco + Kyverno).
- Проводить аудит безопасности k8s-кластера.
- Выстраивать безопасную разработку в соответствии с требованиями ГОСТ 56939-2024
- Оценивать зрелость DevSecOps-процессов на базе российского фреймворка - DevSecOps Assessment Framework (DAF) от Инфосистемы Джет
Cosign
Seccom
PSS
Sysdig Falco
Kyverno
Semgrep
CodeQL
Trivy
GitLeaks
CyberCodeReview
GitLab / Gitlab CI
Vault
Nexus OSS
Harbor
k8s / Docker
Prometheus
Технологии и инструменты, которые даются в курсе
Коровенков Максим
DevSecOps Lead
DevSecOps Lead
Автор курса
Прошёл путь от Compliance Security до DevSecOps через InfraSec.
Имеет более 10 лет опыта в информационной безопасности: работал в небольших и средних продуктовых компаниях, крупных государственных структурах (Департамент информационных технологий Москвы), а также в одном из топ-3 банков России.
Выступает на конференциях (SmartDev, PhDays) и публикует статьи на Habr.
В настоящее время руководит сильной командой, которая разрабатывает одну из самых интересных и амбициозных developer-first платформ для работы с уязвимостями.
Имеет более 10 лет опыта в информационной безопасности: работал в небольших и средних продуктовых компаниях, крупных государственных структурах (Департамент информационных технологий Москвы), а также в одном из топ-3 банков России.
Выступает на конференциях (SmartDev, PhDays) и публикует статьи на Habr.
В настоящее время руководит сильной командой, которая разрабатывает одну из самых интересных и амбициозных developer-first платформ для работы с уязвимостями.
Ключевые навыки
- Интеграция проверок безопасности в SDLC
- Построение процесса триажа файндингов с применением подхода developer first
- Обеспечение безопасности docker-контейнеров
- Реализация контролей безопасности в продуктивной среде k8s
Сертификаты/лицензии
- CDP, CCNA R&S/Security
Программа курса
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс около 10−15 часов в неделю.
📄 0.1 DevSecOps — о чем это; какими стандартами и фреймворками безопасности руководствоваться
📄 1.1 Углублённый SAST: типы анализа и примеры инструментов
⚙️ Практическая работа. Написание кастомных правил для Semgrep
📄 1.2 Интеграция инструментов в процесс разработки: git-hooks, CI/CD
📄 1.3 Security Quality Gate
⚙️ Практическая работа. Блокировка релиза с помощью SQG
⚙️ Практическая работа. Написание кастомных правил для Semgrep
📄 1.2 Интеграция инструментов в процесс разработки: git-hooks, CI/CD
📄 1.3 Security Quality Gate
⚙️ Практическая работа. Блокировка релиза с помощью SQG
📄 2.1 Asset Management в ASOC
📄 2.2 Дедупликация/корреляция/управление уязвимостями
▶️ Видео. Базовая настройка ASOC и заведение различных сущностей на примере коммерческого ASOC
⚙️ Практическая работа. Импорт отчетов и настройка корреляции
📄 2.2 Дедупликация/корреляция/управление уязвимостями
▶️ Видео. Базовая настройка ASOC и заведение различных сущностей на примере коммерческого ASOC
⚙️ Практическая работа. Импорт отчетов и настройка корреляции
📄 3.1 SCA (Trivy, Dependency-Track), SBOM (Syft, SPDX)
📄 3.2 SLSA, Sigstore, подпись артефактов
⚙️ Практическая работа. Настройка подписи артефакта в пайплайне
📄 3.3 OSA, совместное использование OSA/SCA; написание политик блокировок
▶️ Видео. Настройка Nexus для совместной работы с CodeScoring; настройка блокировки скачивания компонента
⚙️ Практическая работа. OSA, настройка блокировок с помощью CodeScoring + Nexus
📄 3.2 SLSA, Sigstore, подпись артефактов
⚙️ Практическая работа. Настройка подписи артефакта в пайплайне
📄 3.3 OSA, совместное использование OSA/SCA; написание политик блокировок
▶️ Видео. Настройка Nexus для совместной работы с CodeScoring; настройка блокировки скачивания компонента
⚙️ Практическая работа. OSA, настройка блокировок с помощью CodeScoring + Nexus
📄 4.1 Изоляция в Docker
📄 4.2 Лучшие практики безопасности; Dockerfile
📄 4.3 Seccomp, AppArmor
▶️ Видео. Применение Seccomp профиля; демонстрация ограничений при работе в контейнере
⚙️ Практическая работа. Написание seccomp профиля
⚙️ Практическая работа. Аудит образов — trivy/clair
📄 4.4 Использование Distroless/Scratch
📄 4.5 Реализация процесса обновления Docker-образов
⚙️ Практическая работа. Реализация процесса обновления Docker-образов
📄 4.2 Лучшие практики безопасности; Dockerfile
📄 4.3 Seccomp, AppArmor
▶️ Видео. Применение Seccomp профиля; демонстрация ограничений при работе в контейнере
⚙️ Практическая работа. Написание seccomp профиля
⚙️ Практическая работа. Аудит образов — trivy/clair
📄 4.4 Использование Distroless/Scratch
📄 4.5 Реализация процесса обновления Docker-образов
⚙️ Практическая работа. Реализация процесса обновления Docker-образов
📄 5.1 Конфигурация проектов и настройка доступа
📄 5.2 Подпись коммитов
📄 5.3 Типовые проблемы CI — подделка кеша, общие раннеры, вечные токены, секреты в логах
⚙️ Практическая работа. Эксплуатация GitLab раннера — подделка кеша, выход за пределы раннера на хост
⚙️ Практическая работа. Настройка подписи коммитов; настройка репозиториев кода в соответствии с лучшими практиками безопасности
📄 5.2 Подпись коммитов
📄 5.3 Типовые проблемы CI — подделка кеша, общие раннеры, вечные токены, секреты в логах
⚙️ Практическая работа. Эксплуатация GitLab раннера — подделка кеша, выход за пределы раннера на хост
⚙️ Практическая работа. Настройка подписи коммитов; настройка репозиториев кода в соответствии с лучшими практиками безопасности
📄 6.1 HashiCorp Vault; основы
📄 6.2 Секреты для разработки — Vault, SOPS+Vault Transit, vals
▶️ Видео. Настройка Vault и интеграция с GitLab для хранения секретов разработки
📄 6.3 Секреты для рантайма (k8s) — Bank Vaults, External Secrets Operator
▶️ Видео. Настройка Vault и интеграция с k8s с помощью Bank Vaults
⚙️ Практическая работа. Настройка использования Vault для хранения секретов тестового сервиса
📄 6.2 Секреты для разработки — Vault, SOPS+Vault Transit, vals
▶️ Видео. Настройка Vault и интеграция с GitLab для хранения секретов разработки
📄 6.3 Секреты для рантайма (k8s) — Bank Vaults, External Secrets Operator
▶️ Видео. Настройка Vault и интеграция с k8s с помощью Bank Vaults
⚙️ Практическая работа. Настройка использования Vault для хранения секретов тестового сервиса
📄 7.1 Основы безопасности; проведение аудита; CIS
⚙️ Практическая работа. Сканирование кластера на наличие проблем безопасности
📄 7.2 Pod Security Admission (PSA)
📄 7.3 Kyverno; принцип работы admission wehook-ов
▶️ Видео. Настройка отправки метрик о работе политик Kyverno в k8s в Prometheus
📄 7.4 Network Policies
⚙️ Практическая работа. Настройка Kyverno политик для проверки SC и подписи образов
⚙️ Практическая работа. Сканирование кластера на наличие проблем безопасности
📄 7.2 Pod Security Admission (PSA)
📄 7.3 Kyverno; принцип работы admission wehook-ов
▶️ Видео. Настройка отправки метрик о работе политик Kyverno в k8s в Prometheus
📄 7.4 Network Policies
⚙️ Практическая работа. Настройка Kyverno политик для проверки SC и подписи образов
📄 8.1 Falco для детектирования аномалий
📄 8.2 eBPF-детектирование/блокировка аномалий; основы
⚙️ Практическая работа. Настройка Falco для отправки событий в ELK
📄 8.3 Организация комплексной защиты рантайма в k8s — seccomp + falco + kyverno
📄 8.2 eBPF-детектирование/блокировка аномалий; основы
⚙️ Практическая работа. Настройка Falco для отправки событий в ELK
📄 8.3 Организация комплексной защиты рантайма в k8s — seccomp + falco + kyverno
Как проходит обучение
В процессе освоения курса вы примерите на себя роль DevSecOps специалиста. Вместе с наставником пройдите полный путь от внедрения инструментов к построению полноценных процессов, научитесь внедрять контроли безопасность на всех этапах SDLC.
Вы изучаете материал в свободное время без привязки к группе. Есть общий дедлайн по теории и заданиям, а нагрузку распределяете сами — учитесь в удобное для вас время. А также ходите на онлайн-вебинары и общаетесь в чате с экспертами и студентами. Рекомендуем выделять на курс 10−15 часов в неделю.
Вы изучаете материал в свободное время без привязки к группе. Есть общий дедлайн по теории и заданиям, а нагрузку распределяете сами — учитесь в удобное для вас время. А также ходите на онлайн-вебинары и общаетесь в чате с экспертами и студентами. Рекомендуем выделять на курс 10−15 часов в неделю.
Чтобы выполнить задачи и обеспечить безопасность, вам нужно столкнуться с такими форматами:
Лекции и скринкасты
До 50% информации изложено в формате лекций, скринкастов и проверочных тестов — это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары и воркшопы с наставником
Живые встречи с экспертом по выходным длительностью 1,5 часа. Воркшоп отличается от вебинара тем, что вы в режиме реального времени будете выполнять задания наставника и получать мгновенную обратную связь. На вебинаре же ваша основная задача — слушать, задавать вопросы и думать, как вы сможете применить эти данные в своей работе.
● Разбор кейсов из практики наставника или приглашённого эксперта.
● Постановка задачи для самостоятельного решения.
● Разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются специалисты каждый день. При решении задач обучающиеся используют реальные инструменты и платформы.
До 50% информации изложено в формате лекций, скринкастов и проверочных тестов — это выжимка из теории, необходимая для структурирования ваших знаний перед практикой.
Онлайн-вебинары и воркшопы с наставником
Живые встречи с экспертом по выходным длительностью 1,5 часа. Воркшоп отличается от вебинара тем, что вы в режиме реального времени будете выполнять задания наставника и получать мгновенную обратную связь. На вебинаре же ваша основная задача — слушать, задавать вопросы и думать, как вы сможете применить эти данные в своей работе.
● Разбор кейсов из практики наставника или приглашённого эксперта.
● Постановка задачи для самостоятельного решения.
● Разбор ошибок.
Практические задания
До 50% от объёма курса — боевые задачи, с которыми сталкиваются специалисты каждый день. При решении задач обучающиеся используют реальные инструменты и платформы.
Необходимые знания для освоения программы курса
- Базовые знания ОС Linux - консоль, команды управления, Bash.
- Docker, Kubernetes, Python, git - на базовом уровне.
О компании
INSECA — это команда опытных экспертов в сфере информационной безопасности, которым небезразлична судьба отрасли. Мы знаем, с чем ежедневно приходится сталкиваться специалистам: много рутинной работы, отсутствие автоматизации процессов, несогласованность подразделений, недостаточность финансирования, бюрократия, нет доступа к иностранному ПО, информация быстро устаревает, а искать достоверную и актуальную долго и сложно.
Более пяти лет мы собираем базу знаний для решения собственных задач, добавили к этому более десяти лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создаёт образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чём рассказывают на курсах, и, главное, готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
Более пяти лет мы собираем базу знаний для решения собственных задач, добавили к этому более десяти лет рабочей практики экспертов и опыт зарубежных коллег. В результате появилась компания ИНСЕКА, которая создаёт образовательные продукты в сфере кибербезопасности. Мы убеждены, что обмен опытом и практико-ориентированная подготовка кадров поможет отрасли решить любые проблемы.
Наши эксперты — это «играющие тренеры». Знают теорию, применяют в своей работе всё, о чём рассказывают на курсах, и, главное, готовы делиться своим практическим опытом.
Мы с вами на одной стороне!
Внедряем лучший зарубежный опыт и адаптируем его под наши реалии
В команде только практикующие эксперты
Учим тому, что точно пригодится в работе
Объединяем специалистов ИБ для обмена опытом
У нас учатся
Подать заявку
Длительность: 3 месяца
Старт: 22 ноября
Старт: 22 ноября
105 000 ₽
136 000 ₽
Рассрочка 0% без переплат
17 500 ₽/месяц
на 6 месяцев
8 750 ₽/месяц
на 12 месяцев
для физических лиц, госкомпаний и вузов
для юридических лиц
Стоимость курса %
Стоимость курса
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты