Кому подходит курс
DevOps- и инфраструктурным инженерам, которые хотят встроить контроль безопасности в свои процессы и освоить DevSecOps-практики
Инженерам по безопасности, которым необходимо получить комплексный взгляд на реализацию процессов безопасной разработки
Начинающим DevSecOps-специалистам, которым нужно системное понимание, практические сценарии и уверенность для выхода на уровень middle
Необходимые знания
Иметь базовые знания ОС Linux
консоль, команды управления, Bash
Знать на базовом уровне
Docker, Kubernetes, Python, git
Технологии и инструменты курса
GitLab / Gitlab CI
Vault
Nexus OSS
Harbor
k8s / Docker
Prometheus
Semgrep
CodeQL
Trivy
GitLeaks
CyberCodeReview
Cosign
Seccom
PSS
Sysdig Falco
Kyverno
Программа курса
Учим тому, что точно пригодится в работе. Рекомендуем выделять на курс около 15 часов в неделю.
Теория
Демонстрация
Практика
Вебинар
📄 0.1 DevSecOps — о чем это; какими стандартами и фреймворками безопасности руководствоваться
📄 1.1 SAST в DevSecOps: основные тезисы и выбор инструментов
📄 1.2 Глубокий анализ кода: от AST до taint-анализа
⚙️ Практическая работа. Написание кастомных правил для Semgrep
📄 1.3 Интеграция инструментов безопасности в процесс разработки: git-hooks, CI/CD, webhooks
⚙️ Практическая работа. Внедрение Opengrep и CodeQL в пайплайны разработки
📄 1.4. Security Quality Gate
🗣️ Вебинар. Безопасность кода и статический анализ (SAST)
📄 1.2 Глубокий анализ кода: от AST до taint-анализа
⚙️ Практическая работа. Написание кастомных правил для Semgrep
📄 1.3 Интеграция инструментов безопасности в процесс разработки: git-hooks, CI/CD, webhooks
⚙️ Практическая работа. Внедрение Opengrep и CodeQL в пайплайны разработки
📄 1.4. Security Quality Gate
🗣️ Вебинар. Безопасность кода и статический анализ (SAST)
📄 2.1 Знакомство с ASOC
📄 2.2 Триаж с помощью ASOC
▶️ Видео. Базовая настройка ASOC и заведение различных сущностей на примере коммерческого ASOC
⚙️ Практическая работа. Настройка ASOC
⚙️ Практическая работа. Интеграция ASOC в пайплайны и реализация Quality Gate
📄 2.3 Сканирование в пайплайнах VS. Сканирование на стороне ASOC через вебхук-интеграцию
🗣️ Вебинар. Vulnerability Management & ASOC
📄 2.2 Триаж с помощью ASOC
▶️ Видео. Базовая настройка ASOC и заведение различных сущностей на примере коммерческого ASOC
⚙️ Практическая работа. Настройка ASOC
⚙️ Практическая работа. Интеграция ASOC в пайплайны и реализация Quality Gate
📄 2.3 Сканирование в пайплайнах VS. Сканирование на стороне ASOC через вебхук-интеграцию
🗣️ Вебинар. Vulnerability Management & ASOC
📄 3.1 Риски использования Open-Source-библиотек
📄 3.2 Митигация рисков. База по композиционному анализу (SCA)
📄 3.3 Инструментарий для анализа безопасности OSS: Trivy, Dependency Track, CodeScoring
▶️ Видео. Настройка Nexus для совместной работы с CodeScoring; настройка блокировки скачивания компонента
⚙️ Практическая работа. Настройка OSA/SCA в CodeScoring
🗣️ Вебинар. Работа с зависимостями
📄 3.2 Митигация рисков. База по композиционному анализу (SCA)
📄 3.3 Инструментарий для анализа безопасности OSS: Trivy, Dependency Track, CodeScoring
▶️ Видео. Настройка Nexus для совместной работы с CodeScoring; настройка блокировки скачивания компонента
⚙️ Практическая работа. Настройка OSA/SCA в CodeScoring
🗣️ Вебинар. Работа с зависимостями
📄 4.1 Путь от образа к Docker-контейнеру
📄 4.2 Механизмы безопасности ядра Linux
📄 4.3 Безопасность образов
📄 4.4 Безопасность контейнеров
▶️ Видео. Применение Seccomp профиля; демонстрация ограничений при работе в контейнере
⚙️ Практическая работа. Запуск Nginx с минимальными привилегиями
⚙️ Практическая работа. Сканирование образов на ошибки конфигурации и уязвимости
🗣️ Вебинар. Безопасность Docker
📄 4.2 Механизмы безопасности ядра Linux
📄 4.3 Безопасность образов
📄 4.4 Безопасность контейнеров
▶️ Видео. Применение Seccomp профиля; демонстрация ограничений при работе в контейнере
⚙️ Практическая работа. Запуск Nginx с минимальными привилегиями
⚙️ Практическая работа. Сканирование образов на ошибки конфигурации и уязвимости
🗣️ Вебинар. Безопасность Docker
📄 5.1 Конфигурация проектов и настройка доступа
📄 5.2 Подпись коммитов
📄 5.3 SLSA, Sigstore, подпись артефактов
⚙️ Практическая работа. Настройка подписи артефакта в пайплайне
📄 5.4 Типовые проблемы CI — подделка кеша, общие раннеры, вечные токены, секреты в логах
⚙️ Практическая работа. Эксплуатация GitLab раннера — подделка кеша, выход за пределы раннера на хост
⚙️ Практическая работа. Настройка подписи коммитов; настройка репозиториев кода в соответствии с лучшими практиками безопасности
🗣️ Вебинар. Безопасность SCM и CI
📄 5.2 Подпись коммитов
📄 5.3 SLSA, Sigstore, подпись артефактов
⚙️ Практическая работа. Настройка подписи артефакта в пайплайне
📄 5.4 Типовые проблемы CI — подделка кеша, общие раннеры, вечные токены, секреты в логах
⚙️ Практическая работа. Эксплуатация GitLab раннера — подделка кеша, выход за пределы раннера на хост
⚙️ Практическая работа. Настройка подписи коммитов; настройка репозиториев кода в соответствии с лучшими практиками безопасности
🗣️ Вебинар. Безопасность SCM и CI
📄 6.1 HashiCorp Vault; основы
📄 6.2 Секреты для разработки — Vault, SOPS+Vault Transit, vals
▶️ Видео. Настройка Vault и интеграция с GitLab для хранения секретов разработки
📄 6.3 Секреты для рантайма (k8s) — Bank Vaults, External Secrets Operator
▶️ Видео. Настройка Vault и интеграция с k8s с помощью Bank Vaults
⚙️ Практическая работа. Настройка использования Vault для хранения секретов тестового сервиса
🗣️ Вебинар. Secrets Management
📄 6.2 Секреты для разработки — Vault, SOPS+Vault Transit, vals
▶️ Видео. Настройка Vault и интеграция с GitLab для хранения секретов разработки
📄 6.3 Секреты для рантайма (k8s) — Bank Vaults, External Secrets Operator
▶️ Видео. Настройка Vault и интеграция с k8s с помощью Bank Vaults
⚙️ Практическая работа. Настройка использования Vault для хранения секретов тестового сервиса
🗣️ Вебинар. Secrets Management
📄 7.1 Основы безопасности; проведение аудита; CIS
⚙️ Практическая работа. Сканирование кластера на наличие проблем безопасности
📄 7.2 Pod Security Admission (PSA)
📄 7.3 Kyverno; принцип работы admission wehook-ов
▶️ Видео. Настройка отправки метрик о работе политик Kyverno в k8s в Prometheus
📄 7.4 Network Policies
⚙️ Практическая работа. Настройка Kyverno политик для проверки SC и подписи образов
🗣️ Вебинар. Kubernetes Security
⚙️ Практическая работа. Сканирование кластера на наличие проблем безопасности
📄 7.2 Pod Security Admission (PSA)
📄 7.3 Kyverno; принцип работы admission wehook-ов
▶️ Видео. Настройка отправки метрик о работе политик Kyverno в k8s в Prometheus
📄 7.4 Network Policies
⚙️ Практическая работа. Настройка Kyverno политик для проверки SC и подписи образов
🗣️ Вебинар. Kubernetes Security
📄 8.1 Falco для детектирования аномалий
📄 8.2 eBPF-детектирование/блокировка аномалий; основы
⚙️ Практическая работа. Настройка Falco для отправки событий в ELK
📄 8.3 Организация комплексной защиты рантайма в k8s — seccomp + falco + kyverno
🗣️ Вебинар. Runtime-защита
📄 8.2 eBPF-детектирование/блокировка аномалий; основы
⚙️ Практическая работа. Настройка Falco для отправки событий в ELK
📄 8.3 Организация комплексной защиты рантайма в k8s — seccomp + falco + kyverno
🗣️ Вебинар. Runtime-защита
Авторы курса
Прошёл путь от Compliance Security до DevSecOps через InfraSec
Имеет более 10 лет опыта в информационной безопасности: работал в небольших и средних продуктовых компаниях, крупных государственных структурах (Департамент информационных технологий Москвы), а также в одном из топ-3 банков России
Выступает на конференциях (SmartDev, PhDays) и публикует статьи на Habr
В настоящее время руководит сильной командой, которая разрабатывает одну из самых интересных и амбициозных developer-first платформ для работы с уязвимостями
Сертификаты/лицензии
CDP, CCNA R&S/Security
Ключевые навыки
Интеграция проверок безопасности в SDLC
Обеспечение безопасности docker-контейнеров
Построение процесса триажа файндингов с применением подхода developer first
Реализация контролей безопасности в продуктивной среде k8s
Как проходит обучение
Комплексный подход к обучению: от теории к практике
30%
Как
проходит обучение
проходит обучение
70%
Лекции и скринкасты
Вебинары
и воркшопы
с экспертами
и воркшопы
с экспертами
Практические
задания
задания
Практика
на платформе
на платформе
Практикующие эксперты
Нарабатывайте собственный опыт. Наши эксперты не предлагают готовые ответы, а развивают ваше мышление.
Поддержка сообщества
Задавайте вопросы преподавателям, обменивайтесь опытом с одногруппниками и получайте помощь от кураторов.
Гибкий график
Совмещайте учебу с работой, без отрыва от важных задач.
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Какая команда создаёт новый коммит из проиндексированных изменений?
Не верно
Верно!
Не верно
Не верно
Как называется основной файл конфигурации конвейера в GitLab CI/CD в репозитории?
Верно!
Не верно
Не верно
Не верно
Будут ли выполнены джобы (jobs) в пайплайне, если явно не задать стейджи (stages) в .gitlab-ci.yml?
Верно!
Не верно
Не верно
Не верно
Если джоба (job) в пайплайне завершилась со статусом FAILED, с каким кодом ответа завершился последний процесс в этой джобе?
Не верно
Не верно
Не верно
Верно!
Какая bash-команда показывает запущенные процессы (одно из корректных базовых решений)?
Верно!
Не верно
Не верно
Не верно
Что означают права доступа "rwxr-x--x" для файла в Linux?
Не верно
Верно!
Не верно
Не верно
Какой инструкцией в Dockerfile задаётся базовый образ?
Не верно
Верно!
Не верно
Не верно
В чём разница команд "docker rm" и "docker rmi"?
Верно!
Не верно
Не верно
Не верно
Можно ли в описании Pod в Kubernetes задать количество реплик?
Не верно
Не верно
Верно!
Не верно
Какое ключевое отличие Nexus от Harbor на базовом уровне?
Не верно
Верно!
Не верно
Не верно
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, но у вас все получится. Выделяйте на курс не менее 10 часов еженедельно.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Оценка уровня подготовки
Пройдите бесплатное тестирование для оценки знаний перед поступлением на курс
Какая команда создаёт новый коммит из проиндексированных изменений?
Не верно
Верно!
Не верно
Не верно
Как называется основной файл конфигурации конвейера в GitLab CI/CD в репозитории?
Верно!
Не верно
Не верно
Не верно
Будут ли выполнены джобы (jobs) в пайплайне, если явно не задать стейджи (stages) в .gitlab-ci.yml?
Верно!
Не верно
Не верно
Не верно
Если джоба (job) в пайплайне завершилась со статусом FAILED, с каким кодом ответа завершился последний процесс в этой джобе?
Не верно
Не верно
Не верно
Верно!
Какая bash-команда показывает запущенные процессы (одно из корректных базовых решений)?
Верно!
Не верно
Не верно
Не верно
Что означают права доступа "rwxr-x--x" для файла в Linux?
a) .
b) . (правильный)
c)
d)
a) .
b) . (правильный)
c)
d)
Не верно
Верно!
Не верно
Не верно
Какой инструкцией в Dockerfile задаётся базовый образ?
Не верно
Верно!
Не верно
Не верно
В чём разница команд "docker rm" и "docker rmi"?
Верно!
Не верно
Не верно
Не верно
Можно ли в описании Pod в Kubernetes задать количество реплик?
Не верно
Не верно
Верно!
Не верно
Какое ключевое отличие Nexus от Harbor на базовом уровне?
Не верно
Верно!
Не верно
Не верно
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Недостаточно знаний
С вашим текущим уровнем знаний вам будет сложно учиться, но если постараться, то все получится.
Вы новичок
Возможно, для прохождения курса вам потребуется больше времени, но у вас все получится. Выделяйте на курс не менее 10 часов еженедельно.
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Вы тот, кто нам нужен!
У вас отличная теоретическая подготовка, это позволит нам говорить на одном языке! Уверены, что и практические задания будут вам по плечу!
Результаты освоения курса
Вместе с экспертами-практиками во время обучения:
Научитесь настраивать и использовать инструменты SAST (Semgrep, CodeQL), SCA/OSA, а также Security Quality Gate для блокировки небезопасного кода
Поймете, как построить процесс управления уязвимостями в docker-образах
Получите комплексный взгляд на реализацию безопасности сервисов в runtime
Сможете интегрировать SAST на разных этапах разработки
Поймете, как применять и настраивать ASOC (Application Security Orchestration and Correlation)
Научитесь работать с Vault для безопасного использования секретов
Узнаете, как управлять активами (Asset Management) и приоритизировать уязвимости
Приобретете знания о реализации безопасности в цепочке поставки
После прохождения курса получаете
Удостоверение о повышении квалификации
Электронный сертификат
Записаться на обучение
Старт:
6 фев. 2026
Идет набор
Длительность:
3 месяца
Стоимость курса
136 000 ₽
для юридических лиц
Стоимость со скидкой
105 000 ₽
для физических лиц,
госкомпаний и вузов
госкомпаний и вузов
Рассрочка 0%
на 6 месяцев от INSECA
Не является кредитом. По договору с ООО "Инсека" с поэтапной оплатой.
17 500 ₽/мес.
на 12 месяцев от банка партнера
8 750 ₽/мес.
Яндекс сплит
Не является кредитом. От вас не нужны документы и подписи, достаточно номера телефона — быстро, просто и безопасно
Оставить заявку
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты
Записаться на курс
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты