DevSecOps в облачном CI/CD

DevSecOps в облачном CI/CD

• Бесплатный курс
• 4 модуля с теорией и практикой
• Сертификат об окончании курса

На курсе вы узнаете

• Как методология DevSecOps помогает обеспечивать безопасность ваших приложений Почувствуете себя настоящим хакером и попробуете взломать приложение, эксплуатируя наиболее распространённые уязвимости
• Чем отличается DevSecOps‑пайплайн от DevOps‑пайплайна Познакомитесь с GitLab Community Edition и различными опенсорсными инструментами для проверки безопасности приложений, научитесь встраивать их в CI‑пайплайны
• Что такое White box testing и какие уязвимости можно найти путём анализа исходного кода приложения Изучите и научитесь встраивать в CI‑пайплайны различные опенсорсные инструменты для статического анализа безопасности исходного кода приложения: SD, SAST и SCA
• Что такое Black box testing и когда статического анализа исходного кода недостаточно Изучите и научитесь встраивать в CI‑пайплайны различные опенсорсные инструменты для динамического анализа безопасности приложения путём эмуляции действий злоумышленника: DAST и OAST
• Что такое Security Dashboard и как он повышает эффективность работы DevSecOps‑команды Самостоятельно развернёте и настроите Security Dashboard для удобной визуализации результатов работы вашего DevSecOps‑пайплайна

Курс будет полезен практикующим DevOps‑инженерам уровня Middle и выше
Мы не учим вас профессии, а на практике знакомим с методологией DevSecOps. Вы расширите ваши CI/CD‑пайплайны специализированными сканерами и анализаторами, чтобы обезопасить свои приложения.

На время прохождения курса вы станете DevOps‑инженером в компании Kickoff Money
Компания решила воскресить своё legacy‑приложение FineNoMore для проверки автомобильных штрафов онлайн. Ваши задачи:

• определить, какие активные уязвимости существуют в FineNoMore;
• добавить в CI‑пайплайн FineNoMore автоматизированные проверки безопасности, используя опенсорсные DevSecOps‑инструменты;
• устранить все уязвимости в FineNoMore и убедиться в его безопасности.

Мы ждём, что вы

Знакомы с облаками и концептом Infrastructure as Code (IaC):

• знакомы с Yandex Cloud, умеете использовать облачную консоль Yandex Cloud и интерфейс командной строки (CLI) для создания облачной инфраструктуры;
• работали с Terraform и умеете использовать его для автоматизации развёртывания IT‑инфраструктуры

Знакомы с Docker и Kubernetes:

• работали с Docker, знаете основные команды и понимаете Dockerfiles;
• работали с Kubernetes;
• знакомы с Helm и умеете применять его для развёртывания приложений в Kubernetes

Работали с Git, SCM и CI/CD‑системами:

• работали с GitLab, GitHub, BitBucket и знаете, как настроить базовые CI/CD‑пайплайны для сборки и развёртывания

Программа

• Введение Расскажем подробнее о том, что вас будет ждать в курсе и дадим рекомендации, как подготовиться к его прохождению.
• Подготовка окружения
• Настройка CI/CD‑пайплайна и эксплуатация уязвимостей
• Внедрение DevSecOps‑инструментов в CI/CD‑пайплайн
• Тестирование приложения без уязвимостей
• Итоги курса