Кому подходит курс
DevOps- и инфраструктурным инженерам, которые хотят встроить контроль безопасности в свои процессы и освоить DevSecOps-практики
Инженерам по безопасности, которым необходимо получить комплексный взгляд на реализацию процессов безопасной разработки
Начинающим DevSecOps-специалистам, которым нужно системное понимание, практические сценарии и уверенность для выхода на уровень middle
Необходимые знания
Иметь базовые знания ОС Linux
консоль, команды управления, Bash
Знать на базовом уровне
Docker, Kubernetes, Python, git
Технические рекомендации для прохождения курса
- Процессор: 4 ядра
- ОЗУ: 8 Гб
- Жесткий диск: 250 Гб
Технологии и инструменты курса
GitLab / Gitlab CI
Vault
Nexus OSS
Harbor
k8s / Docker
Prometheus
Semgrep
CodeQL
Trivy
GitLeaks
CyberCodeReview
Cosign
Seccom
PSS
Sysdig Falco
Kyverno
Программа курса
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс около 15 часов в неделю.
Теория
Демонстрация
Практика
Вебинар
📄 0.1 DevSecOps — о чем это; какими стандартами и фреймворками безопасности руководствоваться
📄 1.1 SAST в DevSecOps: основные тезисы и выбор инструментов
📄 1.2 Глубокий анализ кода: от AST до taint-анализа
⚙️ Практическая работа. Написание кастомных правил для Semgrep
📄 1.3 Интеграция инструментов безопасности в процесс разработки: git-hooks, CI/CD, webhooks
⚙️ Практическая работа. Внедрение Opengrep и CodeQL в пайплайны разработки
📄 1.4. Security Quality Gate
🗣️ Вебинар. Знакомство с автором. Кейсы
📄 1.2 Глубокий анализ кода: от AST до taint-анализа
⚙️ Практическая работа. Написание кастомных правил для Semgrep
📄 1.3 Интеграция инструментов безопасности в процесс разработки: git-hooks, CI/CD, webhooks
⚙️ Практическая работа. Внедрение Opengrep и CodeQL в пайплайны разработки
📄 1.4. Security Quality Gate
🗣️ Вебинар. Знакомство с автором. Кейсы
📄 2.1 Знакомство с ASOC
📄 2.2 Триаж с помощью ASOC
▶️ Видео. Базовая настройка ASOC и заведение различных сущностей на примере коммерческого ASOC
⚙️ Практическая работа. Настройка ASOC
⚙️ Практическая работа. Интеграция ASOC в пайплайны и реализация Quality Gate
📄 2.3 Сканирование в пайплайнах VS. Сканирование на стороне ASOC через вебхук-интеграцию
🗣️ Вебинар. Vulnerability Management & ASOC
📄 2.2 Триаж с помощью ASOC
▶️ Видео. Базовая настройка ASOC и заведение различных сущностей на примере коммерческого ASOC
⚙️ Практическая работа. Настройка ASOC
⚙️ Практическая работа. Интеграция ASOC в пайплайны и реализация Quality Gate
📄 2.3 Сканирование в пайплайнах VS. Сканирование на стороне ASOC через вебхук-интеграцию
🗣️ Вебинар. Vulnerability Management & ASOC
📄 3.1 Риски использования Open-Source-библиотек
📄 3.2 Митигация рисков. База по композиционному анализу (SCA)
📄 3.3 Инструментарий для анализа безопасности OSS: Trivy, Dependency Track, CodeScoring
▶️ Видео. Настройка Nexus для совместной работы с CodeScoring; настройка блокировки скачивания компонента
⚙️ Практическая работа. Настройка OSA/SCA в CodeScoring
🗣️ Вебинар. Работа с зависимостями
📄 3.2 Митигация рисков. База по композиционному анализу (SCA)
📄 3.3 Инструментарий для анализа безопасности OSS: Trivy, Dependency Track, CodeScoring
▶️ Видео. Настройка Nexus для совместной работы с CodeScoring; настройка блокировки скачивания компонента
⚙️ Практическая работа. Настройка OSA/SCA в CodeScoring
🗣️ Вебинар. Работа с зависимостями
📄 4.1 Путь от образа к Docker-контейнеру
📄 4.2 Механизмы безопасности ядра Linux
📄 4.3 Безопасность образов
📄 4.4 Безопасность контейнеров
▶️ Видео. Применение Seccomp профиля; демонстрация ограничений при работе в контейнере
⚙️ Практическая работа. Запуск Nginx с минимальными привилегиями
⚙️ Практическая работа. Сканирование образов на ошибки конфигурации и уязвимости
🗣️ Вебинар. Безопасность Docker
📄 4.2 Механизмы безопасности ядра Linux
📄 4.3 Безопасность образов
📄 4.4 Безопасность контейнеров
▶️ Видео. Применение Seccomp профиля; демонстрация ограничений при работе в контейнере
⚙️ Практическая работа. Запуск Nginx с минимальными привилегиями
⚙️ Практическая работа. Сканирование образов на ошибки конфигурации и уязвимости
🗣️ Вебинар. Безопасность Docker
📄 5.1 Конфигурация проектов и настройка доступа
📄 5.2 Подпись коммитов
📄 5.3 SLSA, Sigstore, подпись артефактов
📄 5.4 Типовые проблемы CI — подделка кеша, общие раннеры, вечные токены, секреты в логах
⚙️ Практическая работа. Настройка подписи артефакта в пайплайне
⚙️ Практическая работа. Эксплуатация GitLab раннера — подделка кеша, выход за пределы раннера на хост
🗣️ Вебинар. Безопасность SCM и CI
📄 5.2 Подпись коммитов
📄 5.3 SLSA, Sigstore, подпись артефактов
📄 5.4 Типовые проблемы CI — подделка кеша, общие раннеры, вечные токены, секреты в логах
⚙️ Практическая работа. Настройка подписи артефакта в пайплайне
⚙️ Практическая работа. Эксплуатация GitLab раннера — подделка кеша, выход за пределы раннера на хост
🗣️ Вебинар. Безопасность SCM и CI
📄 6.1 HashiCorp Vault; основы
📄 6.2 Использование Vault в CI/CD
▶️ Видео. Настройка Vault и интеграция с GitLab для хранения секретов разработки
📄 6.3 Использование Vault в k8s
⚙️ Практическая работа. Настройка использования Vault для получения секретов тестового сервиса в CI
📄 6.2 Использование Vault в CI/CD
▶️ Видео. Настройка Vault и интеграция с GitLab для хранения секретов разработки
📄 6.3 Использование Vault в k8s
⚙️ Практическая работа. Настройка использования Vault для получения секретов тестового сервиса в CI
📄 7.1 Безопасность Kubernetes: от архитектуры к модели рисков
📄 7.2 Безопасность Kubernetes: от архитектуры к модели рисков
📄 7.3 Политики безопасности Kubernetes: как работают Admission Webhooks, Kyverno и CEL
⚙️ Практическая работа. Сканирование кластера с помощью Trivy Operator
▶️ Видео. Настройка отправки метрик о работе политик Kyverno в k8s в Prometheus
📄 7.4 Безопасность сети в Kubernetes: от абстракций NetworkPolicy до iptables
⚙️ Практическая работа. Настройка Kyverno политик для проверки SC и подписи образов
🗣️ Вебинар. Kubernetes Security
📄 7.2 Безопасность Kubernetes: от архитектуры к модели рисков
📄 7.3 Политики безопасности Kubernetes: как работают Admission Webhooks, Kyverno и CEL
⚙️ Практическая работа. Сканирование кластера с помощью Trivy Operator
▶️ Видео. Настройка отправки метрик о работе политик Kyverno в k8s в Prometheus
📄 7.4 Безопасность сети в Kubernetes: от абстракций NetworkPolicy до iptables
⚙️ Практическая работа. Настройка Kyverno политик для проверки SC и подписи образов
🗣️ Вебинар. Kubernetes Security
📄 8.1 Falco для детектирования аномалий
📄 8.2 eBPF-детектирование/блокировка аномалий; основы
⚙️ Практическая работа. Настройка Falco для отправки событий в ELK
📄 8.3 Организация комплексной защиты рантайма в k8s — seccomp + falco + kyverno
🗣️ Вебинар. Runtime-защита
📄 8.2 eBPF-детектирование/блокировка аномалий; основы
⚙️ Практическая работа. Настройка Falco для отправки событий в ELK
📄 8.3 Организация комплексной защиты рантайма в k8s — seccomp + falco + kyverno
🗣️ Вебинар. Runtime-защита
Авторы курса
6 лет коммерческого опыта в ИБ и DevSecOps
В ecom. tech развивает developer-first платформу QualityGate и внедряет DevSecOps-контроли в CI/CD: SAST, OSA/SCA, secrets
Поддерживает направление bug bounty
Ключевые навыки
Автоматизация тестирования безопасности приложений
Bug bounty
Данил Букреев
Специалист по автоматизации процессов безопасной разработки
Прошёл путь от Compliance Security до DevSecOps через InfraSec
Имеет более 10 лет опыта в информационной безопасности: работал в крупных государственных структурах (Департамент информационных технологий Москвы), а также в одном из топ-3 банков России
Выступает на конференциях (SmartDev, PhDays) и публикует статьи на Habr
В настоящее время руководит сильной командой, разрабатывающей developer-first платформу для работы с уязвимостями
Сертификаты
CDP, CCNA R&S/Security
Максим Коровенков
DevSecOps Lead
Прошёл путь от Compliance Security до DevSecOps через InfraSec
Имеет более 10 лет опыта в информационной безопасности: работал в крупных государственных структурах (Департамент информационных технологий Москвы), а также в одном из топ-3 банков России
Выступает на конференциях (SmartDev, PhDays) и публикует статьи на Habr
В настоящее время руководит сильной командой, разрабатывающей developer-first платформу для работы с уязвимостями
Сертификаты
CDP, CCNA R&S/Security
6 лет коммерческого опыта в ИБ и DevSecOps
В ecom. tech развивает developer-first платформу QualityGate и внедряет DevSecOps-контроли в CI/CD: SAST, OSA/SCA, secrets
Поддерживает направление bug bounty
Ключевые навыки
Автоматизация тестирования безопасности приложений
Bug bounty
Как проходит обучение
Программа курса разделена на спринты 1-2 недели обучения
Теоретическая часть, изучаете в своем темпе
Практическая часть, общение с экспертами-практиками
3-5 часов
4-6 часов
1,5 часа
Изучаете обучающие
материалы
материалы
Выполняете практические
работы
работы
Получаете обратную связь от экспертов
Посещаете вебинар
с экспертом курса
с экспертом курса
В чате можно задавать вопросы команде курса и экспертам
У каждого студента есть табель, где фиксируются сданные работы и сроки сдачи
Гибкий график
Большую часть материалов изучаете в удобное время
Практический подход
Исследования и аналитика как часть обучения
Экспертная поддержка
Регулярная обратная связь по выполненным заданиям
Сообщество
Чат для общения с экспертами и сокурсниками
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Какая команда создаёт новый коммит из проиндексированных изменений?
Не верно
Верно!
Не верно
Не верно
Как называется основной файл конфигурации конвейера в GitLab CI/CD в репозитории?
Верно!
Не верно
Не верно
Не верно
Будут ли выполнены джобы (jobs) в пайплайне, если явно не задать стейджи (stages) в .gitlab-ci.yml?
Верно!
Не верно
Не верно
Не верно
Если джоба (job) в пайплайне завершилась со статусом FAILED, с каким кодом ответа завершился последний процесс в этой джобе?
Не верно
Не верно
Не верно
Верно!
Какая bash-команда показывает запущенные процессы (одно из корректных базовых решений)?
Верно!
Не верно
Не верно
Не верно
Что означают права доступа "rwxr-x--x" для файла в Linux?
Не верно
Верно!
Не верно
Не верно
Какой инструкцией в Dockerfile задаётся базовый образ?
Не верно
Верно!
Не верно
Не верно
В чём разница команд "docker rm" и "docker rmi"?
Верно!
Не верно
Не верно
Не верно
Можно ли в описании Pod в Kubernetes задать количество реплик?
Не верно
Не верно
Верно!
Не верно
Какое ключевое отличие Nexus от Harbor на базовом уровне?
Не верно
Верно!
Не верно
Не верно
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, но у вас все получится. Выделяйте на курс не менее 10 часов еженедельно.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Какая команда создаёт новый коммит из проиндексированных изменений?
Не верно
Верно!
Не верно
Не верно
Как называется основной файл конфигурации конвейера в GitLab CI/CD в репозитории?
Верно!
Не верно
Не верно
Не верно
Будут ли выполнены джобы (jobs) в пайплайне, если явно не задать стейджи (stages) в .gitlab-ci.yml?
Верно!
Не верно
Не верно
Не верно
Если джоба (job) в пайплайне завершилась со статусом FAILED, с каким кодом ответа завершился последний процесс в этой джобе?
Не верно
Не верно
Не верно
Верно!
Какая bash-команда показывает запущенные процессы (одно из корректных базовых решений)?
Верно!
Не верно
Не верно
Не верно
Что означают права доступа "rwxr-x--x" для файла в Linux?
a) .
b) . (правильный)
c)
d)
a) .
b) . (правильный)
c)
d)
Не верно
Верно!
Не верно
Не верно
Какой инструкцией в Dockerfile задаётся базовый образ?
Не верно
Верно!
Не верно
Не верно
В чём разница команд "docker rm" и "docker rmi"?
Верно!
Не верно
Не верно
Не верно
Можно ли в описании Pod в Kubernetes задать количество реплик?
Не верно
Не верно
Верно!
Не верно
Какое ключевое отличие Nexus от Harbor на базовом уровне?
Не верно
Верно!
Не верно
Не верно
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, но у вас все получится. Выделяйте на курс не менее 10 часов еженедельно.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Результаты освоения курса
Вместе с экспертами-практиками во время обучения:
Научитесь настраивать и использовать инструменты SAST (Semgrep, CodeQL), SCA/OSA, а также Security Quality Gate для блокировки небезопасного кода
Поймете, как построить процесс управления уязвимостями в docker-образах
Получите комплексный взгляд на реализацию безопасности сервисов в runtime
Сможете интегрировать SAST на разных этапах разработки
Поймете, как применять и настраивать ASOC (Application Security Orchestration and Correlation)
Научитесь работать с Vault для безопасного использования секретов
Узнаете, как управлять активами (Asset Management) и приоритизировать уязвимости
Приобретете знания о реализации безопасности в цепочке поставки
После прохождения курса получаете
Удостоверение о повышении квалификации
Выдается на основании государственной лицензии №Л035-01239-34/01113565 и подлежит внесению в федеральный реестр
Электронный сертификат
Записаться на обучение
Старт:
4 сент. 2026
Идет набор
Длительность:
3 месяца
Стоимость курса
136 000 ₽
для юридических лиц
Стоимость со скидкой
105 000 ₽
для физических лиц,
госкомпаний и вузов
госкомпаний и вузов
Рассрочка 0%
на 6 месяцев
17 500 ₽/мес.
на 12 месяцев
8 750 ₽/мес.
от банка партнера или Яндекс сплит
Не является кредитом. От вас не нужны документы и подписи, достаточно номера телефона — быстро, просто и безопасно
Отвечаем на вопросы
Курс подойдет:
- Специалистам службы безопасности
- Специалистам ИБ и пентест-специалистам
- Сотрудникам корпоративной безопасности
- IT-специалистам, желающим освоить разведку из открытых источников.
- Специалистам службы безопасности
- Специалистам ИБ и пентест-специалистам
- Сотрудникам корпоративной безопасности
- IT-специалистам, желающим освоить разведку из открытых источников.
Для успешного прохождения курса необходимо знать:
- Принципы работы поисковых систем
- Законы о конфиденциальности и авторских правах
- Методы безопасной коммуникации и хранения данных
- Иметь базовые знания ОС Linux консоль, команды управления, Bash, Docker, Kubernetes, Python, git. Также желательно знание CI/CD (GitLab CI).
- Принципы работы поисковых систем
- Законы о конфиденциальности и авторских правах
- Методы безопасной коммуникации и хранения данных
- Иметь базовые знания ОС Linux консоль, команды управления, Bash, Docker, Kubernetes, Python, git. Также желательно знание CI/CD (GitLab CI).
GitLab / Gitlab CI, Vault, Nexus OSS
Harbor, k8s / Docker, Prometheus
Semgrep, CodeQL, Trivy
GitLeaks, CyberCodeReview
Cosign, Seccom
PSS, Sysdig Falco, Kyverno
Контейнерные технологии - Docker, Kubernetes
Инфраструктура - GitLab/Gitlab CI (AppSec.Code), Vault, Nexus, Harbor
Сканеры - Semgrep/Opengrep, CodeQL, Trivy, Johnny (CodeScoring)
ASOC - CyberCodeReview
OSA/SCA - CodeScoring
Подпись артефактов - Cosign
Защита репозитория - CODEOWNERS, подпись коммитов, защищенные ветки
Безопасность k8s:
Применение политик - Kyverno
Проверка конфигурации - Trivy Operator
Фильтрация системных вызовов - seccom
Отслеживание и реагирование на события в runtime - Sysdig Falco, Luntry
Harbor, k8s / Docker, Prometheus
Semgrep, CodeQL, Trivy
GitLeaks, CyberCodeReview
Cosign, Seccom
PSS, Sysdig Falco, Kyverno
Контейнерные технологии - Docker, Kubernetes
Инфраструктура - GitLab/Gitlab CI (AppSec.Code), Vault, Nexus, Harbor
Сканеры - Semgrep/Opengrep, CodeQL, Trivy, Johnny (CodeScoring)
ASOC - CyberCodeReview
OSA/SCA - CodeScoring
Подпись артефактов - Cosign
Защита репозитория - CODEOWNERS, подпись коммитов, защищенные ветки
Безопасность k8s:
Применение политик - Kyverno
Проверка конфигурации - Trivy Operator
Фильтрация системных вызовов - seccom
Отслеживание и реагирование на события в runtime - Sysdig Falco, Luntry
Большая часть практики выполняется на лабораторных стендах, доступ к которым предоставляется по VPN. Остальные - можно выполнить локально, никаких специфических инструментов кроме наличие docker-клиента не потребуют.
docker (Docker Desktop) (локальная сборка/тестирование контейнеров)
kubectl / Lens / k9s (работа с кластером)
wireguard (VPN к лабораторному стенду)
командные оболочки - bash/sh/zsh
git-клиент
интерпретатор python (автоматизацию можно будет реализовать на python)
kubectl / Lens / k9s (работа с кластером)
wireguard (VPN к лабораторному стенду)
командные оболочки - bash/sh/zsh
git-клиент
интерпретатор python (автоматизацию можно будет реализовать на python)
Для успешного завершения курса необходимо выполнить 8 из 13 практических работ.
Курс DevSecOps Deep Dive предлагает глубокое погружение в выстраивание безопасности приложений — от первого коммита до работы в продакшн-среде.
В основе программы лежит самый современный на сегодняшний день технологический стек, собравший в себе безальтернативные индустриальные стандарты для каждой затрагиваемой темы. Будь то сканирование кода, защита цепочки поставок (Supply Chain Security) или безопасность Kubernetes — вы будете работать с инструментами, которые сейчас диктуют правила в Enterprise-сегменте.
Обучение выстроено вокруг создания единого, сквозного процесса. Все модули и практики внедряются последовательно: результат успешного выполнения одной практики становится обязательным пререквизитом для следующей.
Эта логика неразрывно связана с методологией DAF (DevSecOps Adoption Framework). Такой подход помогает не просто механически настраивать сканеры, а четко понимать, что за чем должно следовать и какие условия необходимы для реализации действительно комплексной защиты.
Чтобы максимально приблизить этот опыт к реалиям крупного бизнеса, мы включили в программу работу с лучшими российскими коммерческими решениями. Прямо в рамках курса вы сможете «пощупать» в деле и внедрить в свой пайплайн такие enterprise-продукты, как систему OSA/SCA-анализа CodeScoring и платформу безопасности контейнерных сред Luntry.
В основе программы лежит самый современный на сегодняшний день технологический стек, собравший в себе безальтернативные индустриальные стандарты для каждой затрагиваемой темы. Будь то сканирование кода, защита цепочки поставок (Supply Chain Security) или безопасность Kubernetes — вы будете работать с инструментами, которые сейчас диктуют правила в Enterprise-сегменте.
Обучение выстроено вокруг создания единого, сквозного процесса. Все модули и практики внедряются последовательно: результат успешного выполнения одной практики становится обязательным пререквизитом для следующей.
Эта логика неразрывно связана с методологией DAF (DevSecOps Adoption Framework). Такой подход помогает не просто механически настраивать сканеры, а четко понимать, что за чем должно следовать и какие условия необходимы для реализации действительно комплексной защиты.
Чтобы максимально приблизить этот опыт к реалиям крупного бизнеса, мы включили в программу работу с лучшими российскими коммерческими решениями. Прямо в рамках курса вы сможете «пощупать» в деле и внедрить в свой пайплайн такие enterprise-продукты, как систему OSA/SCA-анализа CodeScoring и платформу безопасности контейнерных сред Luntry.
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты