Implémentation et travail dans DevSecOps - cours 88 000 roubles. d'Otus, formation 5 mois, Date 30 octobre 2023.

Aujourd’hui, nous sommes constamment confrontés à des attaques de pirates informatiques, à des fraudes par courrier électronique et à des fuites de données. Le travail en ligne est devenu une exigence commerciale et une nouvelle réalité. Développer et maintenir du code et protéger l’infrastructure dans un souci de sécurité devient une exigence primordiale pour les spécialistes informatiques. Ce sont ces spécialistes qui sont les mieux payés et les plus demandés parmi les grands employeurs: Microsoft, Google, Amazon Web Services, Mail. Ru Group, Yandex, Sberbank et autres.

A qui est destiné ce cours?
Le développement d’infrastructures et de piles d’applications dans le flux continu de changements Agile DevOps nécessite un travail continu avec les outils de sécurité de l’information. Le modèle de sécurité traditionnel axé sur le périmètre ne fonctionne plus. Dans DevOps, la responsabilité de la sécurité incombe à tous les participants au processus Dev[Sec]Ops.

La formation s'adresse aux spécialistes des profils suivants :

- Développeurs
- Ingénieurs et administrateurs DevOps
- Testeurs
- Architectes
- Spécialistes de la sécurité de l'information
- Les spécialistes qui souhaitent apprendre à développer et maintenir des applications et des infrastructures avec un haut degré de protection contre les attaques externes et internes dans un processus DevSecOps automatisé.

Objectif du cours
Une mise en œuvre réussie de DevSecOps n'est possible qu'avec une approche intégrée des outils, des processus métier et des personnes (rôles des participants). Le cours fournit des connaissances sur les trois éléments et a été initialement développé pour soutenir la chaîne d'outils CI/CD et le projet de transformation des travailleurs. Processus DevOps vers une pratique DevSecOps complète en utilisant les derniers outils de sécurité automatisés.

Le cours couvrira les fonctionnalités de sécurité des types d'applications suivants :
- Applications monolithiques traditionnelles à 2/3 niveaux
- Applications Kubernetes - dans votre propre DC, Public Cloud (EKS, AKS, GKE)
-Applications mobiles iOS et Android
- Applications avec back-end API REST

L'intégration et l'utilisation des outils open source et commerciaux de sécurité de l'information les plus populaires seront prises en compte.
Le cours met l'accent sur les pratiques Scrum/Kanban, mais les approches et les outils peuvent également être utilisés dans le modèle traditionnel de gestion de projet Waterfall.

Connaissances et compétences que vous acquerrez
- Transition du modèle de sécurité « protection périmétrique » vers le modèle « protection de toutes les couches »
- Dictionnaire, termes et objets utilisés dans les outils de sécurité de l'information - CWE, CVE, Exploit, etc.
- Normes de base, méthodes, sources d'informations - OWASP, NIST, PCI DSS, CIS, etc.

Ils apprendront également à intégrer CI/CD et à utiliser les outils de sécurité des informations des catégories suivantes :
- Analyse des attaques possibles (Threat Modeling)
- Analyse statique du code source pour la sécurité (SAST)
- Analyse dynamique de la sécurité des applications (IAST/DAST)
- Analyse de l'usage des logiciels tiers et open source (SCA)
- Tester la configuration pour la conformité aux normes de sécurité (CIS, NIST, etc.)
- Renforcement de la configuration, patching
- Application de la gestion des secrets et des certificats
- Application de la protection pour REST-API dans les applications micro-services et sur le back-end
- Application du pare-feu d'applications Web (WAF)
- Pare-feu de nouvelle génération (NGFW)
- Tests d'intrusion manuels et automatisés (Penetration Testing)
- Surveillance de la sécurité et réponse aux événements en matière de sécurité de l'information (SIEM)
- Analyse médico-légale

De plus, les chefs d’équipe recevront des recommandations sur les pratiques permettant de mettre en œuvre avec succès DevSecOps :
- Comment préparer et mener avec succès un mini-appel d'offres et un PoC pour la sélection des outils
- Comment changer les rôles, la structure et les domaines de responsabilité des équipes de développement, de support et de sécurité de l'information
- Comment adapter les processus métiers de gestion de produits, de développement, de maintenance et de sécurité de l'information

Pendant 12 ans de travail dans l'informatique, j'ai réussi à travailler en tant que développeur, testeur, ingénieur devops et devsecops dans des entreprises telles que NSPK (développeur de la carte MIR), Kaspersky Lab, Sibur et Rostelecom. En ce moment, je...

Audite les réseaux commerciaux depuis 2017. Participation au développement d'un modèle de sécurité pour la banque interétatique d'Ukraine "AT Oschadbank" La principale caractéristique des tests est le pentest utilisant la méthode "boîte noire". Travailler avec python et bush depuis 2016...