В этом обзоре представлены лучшие онлайн курсы обучения DevSecOps, их сравнение, актуальный рейтинг. Специалисты DevSecOps приносят большую пользу бизнесу, потому что они обеспечивают безопасность в процессе разработки и продакшена. DevSecOps сейчас весьма востребованы, а зарплатные перспективы очень хорошие. На курсах вы получите необходимые знания и навыки и сможете применить их на практике.
Курс «Внедрение и работа в DevSecOps» от Otus
https://otus.ru/lessons/devsecops/
Цена: 86 400 руб, возможна рассрочка
Формат обучения: онлайн занятия с преподавателем, видеозаписи лекций
Длительность: 4 месяца, 4 ак. часа в неделю
Домашние задания: есть
Проверка заданий преподавателем: есть
Связь с преподавателем: есть
Документ об окончании: сертификат
Кому подойдет курс: разработчики, DevOps-инженеры и администраторы, тестировщиков, архитекторы, специалисты по информационной безопасности
Доступ к материалам: навсегда
Проекты в портфолио: 1 проект
Помощь с трудоустройством: есть
Программа курса:
- Вводная лекция. Правила, цели и рекомендации
- Основные термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности
- Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры
- Разбор уязвимостей OWASP Top 10 Web
- Разбор уязвимостей OWASP Top 10 — REST API
- Безопасная разработка в HTML/CSS и PHP
- Безопасная разработка в Java/Node.js
- Безопасная разработка в .NET
- Безопасная разработка в Python
- Безопасная разработка и уязвимости программного кода
- Q&A. Сессия вопросов и ответов
- Введение в Docker
- Работа с данными и сетями в Docker
- Сборка и оптимизация Docker-образов
- Обеспечение безопасности в Docker контейнерах
- Обеспечение безопасности в Kubernetes
- Обеспечение безопасности в ОС Linux
- Обеспечение безопасности ОС Windows
- Обеспечение безопасности CI/CD тулчейна и DevOps процесса
- Обзор DevSecOps инструментария
- Анализ исходного кода на безопасность (SAST/ DAST/IAST)
- Применение защиты для REST-API внутри микро-сервисных приложений и на back-end
- Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection
- Сессия вопросов и ответов
- Современные средства периметральной безопасности сети (NGFW/Sandbox)
- Средства обнаружения действий внутреннего нарушителя (PAM и другие решения)
- Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR)
- Моделирование угроз и тестирование на проникновение
- План проекта и методика трансформации организации в DevSecOps
- Итоговый проект
Особенности курса:
- Преподаватели курса – DevOps-инженеры с большим опытом работы с облачными инфраструктурами, распределенными системами
- Занятия проходят в группах
- Есть чат для общения с преподавателями и другими студентами
Курс «DevSecOps — Kubernetes DevOps & Security with Hands-On Labs» от Udemy
https://www.udemy.com/course/kubernetes-devsecops/
Цена: 1 590 руб
Формат обучения: видеозаписи лекций, статьи
Длительность: 13 часов видео, 42 статьи
Домашние задания: есть
Проверка заданий преподавателем: нет
Связь с преподавателем: есть
Документ об окончании: сертификат
Кому подойдет курс: разработчики, DevOps-инженеры и администраторы, специалисты по информационной безопасности
Доступ к материалам: навсегда
Проекты в портфолио: нет
Помощь с трудоустройством: нет
Курс на английском языке.
Какие навыки вы получите:
- Освоите подход DevSecOps
- Узнаете концепции безопасности Kubernetes
- Познакомитесь с HashiCorp Vault
- Научитесь находить уязвимости в зависимостях, Dockerfile, имеджах, ресурсах K8S
- Освоите юнит тесты, mutation тесты, SAST, DAST, интеграционные тест
- Поймете, как делать интеграцию/перенос безопасности в конвейер DevOps
- Сможете исправлять уязвимости в зависимостях, Dockerfile, имеджах, ресурсах K8S
- Будете проводить мониторинг уязвимостей и кластера Kubernetes
- Освоите уведомления Slack для Jenkins, Prometheus, Grafana, Falco
Курс «DevSecOps Engineering Training» от Zeolearn
https://www.zeolearn.com/devsecops-engineering-training
Цена: нет информации
Формат обучения: видеозаписи лекций
Длительность: 16 часов
Домашние задания: есть
Проверка заданий преподавателем: нет
Связь с преподавателем: есть
Документ об окончании: сертификат
Кому подойдет курс: разработчики, DevOps-инженеры и администраторы, специалисты по информационной безопасности
Доступ к материалам: навсегда
Проекты в портфолио: 1 проект
Помощь с трудоустройством: нет
Курс на английском языке.
Программа курса:
- Цель, преимущества, концепции и словарь DevSecOps
- Чем методы обеспечения безопасности DevOps отличаются от других подходов к обеспечению безопасности
- Стратегии безопасности, ориентированные на бизнес
- Понимание и применение наук о данных и безопасности
- Польза и преимущества красных и синих команд
- Интеграция безопасности в рабочие процессы непрерывной доставки
- Как роли DevSecOps соответствуют культуре и организации DevOps
Курс «Certified DevSecOps Professional» от Practical DevSecOps
https://www.practical-devsecops.com/certified-devsecops-professional/
Цена: 899$
Формат обучения: видеозаписи лекций
Длительность: нет информации
Домашние задания: есть
Проверка заданий преподавателем: нет
Связь с преподавателем: есть
Документ об окончании: сертификат в случае сдачи экзамена
Кому подойдет курс: разработчики, DevOps-инженеры и администраторы, специалисты по информационной безопасности
Доступ к материалам: навсегда
Проекты в портфолио: нет
Помощь с трудоустройством: нет
Курс на английском языке.
Программа курса:
Модуль 1. Введение в основы
- Что такое DevOps?
- Строительные блоки DevOps: люди, процессы и технологии
- Принципы DevOps — культура, автоматизация, измерение и совместное использование (CAMS)
- Преимущества DevOps — скорость, надежность, доступность, масштабируемость, автоматизация, стоимость и наглядность
- Что такое непрерывная интеграция и непрерывное развертывание?
- Распространенные проблемы, возникающие при использовании принципа DevOps
- Тематические исследования DevOps передовых технологий в Facebook, Amazon и Google
Модуль 2. Введение в инструменты
- Gitlab/Github
- Docker
- Gitlab CI/Github Actions/Circle CI/Jenkins/Travis
- OWASP ZAP
- Ansible
- Inspec
Модуль 3. Безопасный пайплайн SDLC и CI/CD
- Что такое безопасный SDLC
- Безопасные активити SDLC и шлюзы безопасности
- DevSecOps Maturity Model (DSOMM)
- Использование инструментов для выполнения вышеуказанных действий в CI/CD
- Внедрение безопасности как часть конвейера CI/CD
- DevSecOps и проблемы с пентестингом и оценкой уязвимостей
Модуль 4. Анализ программных компонентов (SCA) в конвейере CI/CD
- Что такое анализ программных компонентов
- Анализ компонентов программного обеспечения и его проблемы
- Что искать в решении SCA (бесплатном или коммерческом)
- Встраивание инструментов SCA, таких как OWASP Dependency Checker, Safety, RetireJs и NPM Audit, Snyk в конвейер
Модуль 5. SAST (статический анализ) в конвейере CI/CD
- Что такое статическое тестирование безопасности приложений
- Статический анализ и его проблемы
- Внедрение инструментов SAST, таких как Find Bugs, в конвейер
- Сканирование секретов для предотвращения раскрытия секретов в коде
- Написание пользовательских проверок для выявления возраста утечки секретов в организации
Модуль 6. DAST (динамический анализ) в конвейере CI/CD
- Что такое динамическое тестирование безопасности приложений
- Динамический анализ и его проблемы (управление сессиями, сканирование AJAX)
- Встраивание инструментов DAST, таких как ZAP и Burp Suite Dastardly, в конвейер
- Тестирование неправильной конфигурации SSL
- Проверка неправильной конфигурации сервера, например, секретных папок и файлов
- Создание базовых сканов для DAST
Модуль 7. Инфраструктура как код и ее безопасность
- Что такое инфраструктура как код и ее преимущества
- Платформа + определение инфраструктуры + управление конфигурацией
- Введение в Ansible
- Инструменты и услуги, помогающие реализовать IaaC
Модуль 8. Соответствие как код
- Различные подходы к выполнению требований соответствия в масштабе DevOps
- Использование управления конфигурацией для достижения соответствия
- Управление соответствием с помощью Inspec/OpenScap
Модуль 9. Управление уязвимостями с помощью специальных инструментов
- Подходы к управлению уязвимостями в организации
Особенности курса:
- Есть чат для общения с преподавателями и другими студентами
- Более 100 заданий
