ТОП-6 лучших курсов DevSecOps: обучение онлайн, бесплатные и платные в 2024 году

Курс «Внедрение и работа в DevSecOps от OTUS»

Стоимость курса: 50 000 ₽

Длительность курса: 4 месяца

Научитесь обеспечивать безопасность в непрерывном процессе разработки и продакшена.
Выбирайте и интегрируйте инструменты ИБ под свои процессы.

Подробнее о курсе DevSecOps →

Уровень: Начинающие и продвинутые разработчики, DevOps-инженеры и администраторы, тестировщики, архитекторы, специалисты по информационной безопасности

Формат обучения: Онлайн-вебинары – теория / демо + ДЗ

Обратная связь: Фидбек от преподавателей

Сертификат

Чему научитесь:

• научитесь интегрировать в CI/CD и использовать инструменты ИБ
• приобретете знания, необходимые для успешного использования ИБ инструментария;

Программа обучения:

1. Базис знаний информационной безопасности

• Словарь, термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности
• Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры.

2. Обзор уязвимостей OWASP

• Разбор уязвимостей OWASP Top 10 Web
• Разбор уязвимостей OWASP Top 10 – REST API.

3. Особенности разработки безопасного кода и использования фреймворков

• Безопасная разработка в HTML/CSS и PHP
• Безопасная разработка в Java/Node.js
• Безопасная разработка в .NET
• Безопасная разработка в Python
• Безопасная разработка и уязвимости программного кода.

4. Разработка безопасных контейнерных и serverless приложений

• Обеспечение безопасности в Docker контейнерах
• Обеспечение безопасности в Kubernetes.

5. Интеграция и работа с инструментами ИБ в рамках DevSecOps

• Обеспечение безопасности CI/CD тулчейна и DevOps процесса
• Обзор DevSecOps инструментария
• Анализ исходного кода на безопасность (SAST/ DAST/IAST)
• Применение защиты для REST-API внутри микро-сервисных приложений и на back-end.
• Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection.
• Обеспечение безопасности в ОС Linux
• Моделирование угроз и тестирование на проникновение
• План проекта и методика трансформации организации в DevSecOps.
• Современные средства периметральной безопасности сети (NGFW/Sandbox)
• Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR).

6. Проектный модуль

• Выбор темы
• Консультации и обсуждения проектной работы
• Защита проектов.

Плюсы:

• Обучение на практике
• Полноценная программа обучения 4 месяца

Минусы:

• Требуется вступительное тестирование

Кто проводит курс:

Отзывы об Otus:  https://otus.ru/reviews

Курс «Профессия DevOps-инженер PRO от Skillbox»

Цена курса: Рассрочка – 4 958 ₽ / мес

Продолжительность курса: 2 года

Вы освоите методологию DevOps: объедините процессы разработки и эксплуатации, ускорите внедрение и доставку новых функций до пользователя.

Подробнее о курсе DevSecOps →

Уровень: Разработчики и тестировщики, IT-специалисты уровня Junior или Middle

Формат обучения: Видеоуроки + практические и домашние задания

Обратная связь: Работа с проверяющим экспертом

Особенность: Кейсы в портфолио

Сертификат

Чему научитесь:

• Работать с Docker
• Работать с инфраструктурой как с кодом
• Работать с системами контроля версий
• Автоматизировать процессы
• Использовать kubernetes (k8s)
• Создавать решения мониторинга.

Программа обучения:

1. Система контроля версий Git

• Работаем с Git на своём компьютере.
• Работаем с удалённым репозиторием.
• Командная работа в Git.
• Сравнение версий и отмена изменений.
• Инструменты и правила работы с Git.

2. Python Basic

• Введение.
• Основы работы с Python.
• Операторы, выражения.
• Условный оператор if, ветвления.
• Условный оператор if: продолжение.
• Цикл while.
• Цикл for: циклы со счётчиком.
• Цикл for: особенности работы с range.
• Цикл for: работа со строками.
• Вложенные циклы.
• Числа. Типы int и float.
• Функции: начало.
• Особенности float.
• Установка и настройка IDE.
• Базовые коллекции. Списки.
• List: методы работы со списками.
• Представления списков.
• Базовые коллекции. Строки.
• Базовые коллекции. Словари.
• Базовые коллекции. Кортежи.
• Функции: продолжение.
• Работа с файлами.
• Исключения: работа с ошибками.
• Введение в ООП.
• Основные принципы ООП.
• Итераторы и генераторы.
• Декораторы: базовый уровень.
• Углублённая работа с классами и встроенные декораторы.
• Декораторы: продвинутый уровень.
• Функции: конец.
• Библиотеки для работы с данными.
• Бонусный модуль. Основы работы с сетью.

3. Devops-инженер. Основы

• Эволюция разработки: CI/CD.
• Введение в DevOps.
• Знакомство с CD (Continuous delivery).
• Continuous integration с использованием GitLab CI.
• Continuous delivery. Работа с окружением разработки и PROD.
• Инфраструктура как код (IaC).
• Виртуализация.
• Тестирование инфраструктурного кода.
• Мониторинг.
• Инцидент-менеджмент.
• Инструменты.
• Итоговый проект.

4. Devops-инженер. Advanced

• Введение: Yaml, утилиты, Git
• Service Discovery
• CMS (Configuration Management System). Ansible
• Docker
• CI/CD: Jenkins, GitLab
• Мониторинг: сбор метрик
• Мониторинг: сбор логов
• Безопасность
• Сети
• Облачные сервисы
• Итоговый проект

5. Kubernetes

• Интро
• Знакомство с Kubernetes: основные понятия и архитектура
• Основные объекты Kubernetes
• Безопасность и управление доступом
• Сетевая подсистема Kubernetes
• Хранение данных в Kubernetes
• Шаблоны: Helm и его аналоги (Jsonnet, Kustomize)
• Requests, Limits и Load Balancing в кластере
• Мониторинг компонентов кластера и приложений, работающих в нем
• Service mesh. Знакомство с Istio и Envoy
• Kubernetes для непрерывной поставки (CI/CD). Интеграция с CI сервисом
• Эксплуатация кластера
• Итоговый проект

6. Docker

• Углубите свои знания в Docker: научитесь разворачивать инфраструктуру из образов, работать с docker registry и оркестрировать контейнеры с помощью docker compose. Погрузитесь в файловую систему и рантаймы.

7. Облачные сервисы

• Вы изучите возможности облачных сервисов и научитесь использовать их в своей работе.

8. Воркшопы для участников

• Архитектура GitLab.
• Углубляемся в Gitlab CI.
• Решение практических задач с применением Gitlab CI.

Преимущества:

• Гарантия трудоустройства
• Полноценная программа обучения 2 года
• Кейсы в портфолио

Недостатки:

• Не обнаружено

Кто проводит курс:

• Артём Науменко – Руководитель IT инфраструктуры SkyEng
• Дмитрий Зайцев – Head of SRE в @flocktory.com
• Александр Акилин – DevOps-инженер в компаниях Data Travel и Aquiva Labs
• Константин Брюханов – Head of DevOps, Интернет-банк ВТБ
• Александр Крылов – Lead DevOps services в Росгосстрахе
• Евгений Дмитриев – DevOps-инженер в ИнфоТеКС
• Илья Феоктистов – Head of DevOps в компании Bling
• Денис Матвеев – Sysadmin/DevOps в Ignitia AB (Швеция)

Отзывы о Skillbox: https://skillbox.ru/otzyvy/

Курс «Специалист DevSecOps от Академия АйТи»

Цена: 40 000 ₽

Длительность курса: 272 ак. часа

Подробнее о курсе DevSecOps →

Уровень: Требуется знание основ программирования

Формат обучения: Дистанционно

Диплом о профессиональной переподготовке

Чему научитесь:

• Взаимодействовать с командами разработки ПО и операционными подразделениями для анализа функциональных и не функциональных требований, пользовательских сценариев на предмет безопасности;
• Заниматься подготовкой требований по безопасности, а также контролировать соблюдение требований в процессе разработки ПО;
• Проводить ревью безопасности разработанной архитектуры приложений (монолитной, SOA, микросервисной), ревью исходного кода ПО, тестирование безопасности релизов и систем в продакшене;
• Управлять требованиями по безопасности, в частности моделировать и анализировать угрозы безопасности;
• Управлять уязвимостью программных систем. Вести их учет, оценивать критичность и контролировать исправления в разработке ПО;
• Разрабатывать шаблоны безопасной архитектуры приложений, внедрять стандартны безопасного программирования, доводить требования безопасности до команд разработки ПО;
• Внедрять лучшие практики разработки безопасного ПО, DevSecOps (SAST, DAST, dependency check и др);
• Своевременно информировать команды разработчиков ПО об обнаружении новых и ранее неизвестных уязвимостях программного кода и предлагать обоснованные решения для их нейтрализации.

Программа обучения:

1. Базовый модуль: Основы программирования и составления алгоритмов

• Алгоритм – свойства и способы представления. Типы данных – назначение и роль в программе. Операнды и операторы – вычисление выражений
• Модели разработки программ. Структурное программирование. Базовые принципы: блочная структура кода – блоки и подпрограммы. типовые структуры управления – последовательность, ветвление, цикл
• Соcтавление алгоритмов. Применение машинной логики к задачам поиска данных. Оценка времени работы алгоритмов, эффективность кода.
• Практические примеры составления блок-схем и псевдокода. Простейшие алгоритмические задачи. Перевод алгоритма в код. Подпрограммы (функции) как основные блоки кода. Типовые задачи на обработку текста.
• Понятие массива. Типовые задачи с массивами: доступ к элементу, обход элементов, инициализация элементов.
• Простейшие конструкции данных: список, стек, очередь, дерево. Поиск элемента и сортировка элементов. Реализация динамического стека.
• Установка интерпретатора Python. Основные операции и типы данных. Операторы ветвления и циклы. Установка и запуск среды разработки. Типы данных: числа, строки, списки, логический тип, None. Функции преобразования типов. Простой ввод и простой вывод
• Cтроки. Методы и функции. Использование срезов. Кортеж. Основные операции с кортежем. Распаковка кортежа. Список. Основные операции со списком. Словарь. Основные операции со словарем. Множества. Основные операции с множеством
• Ветвления. Оператор if. Базовая форма цикла while. Операторы break и continue. Перебор (for). Генераторы словарей, списков, множеств

2. Профильный модуль. Разработка безопасного ПО.

• Тренды разработки современного ПО (внедрение практик DevOps, снижение общих сроков разработки ПО (time to market), повышение гибкости в разработке ПО, переход от монолитных к микросервисным приложениям, динамическое выделение ИТ-ресурсов, повышение внимания к вопросам разработки безопасного ПО).
• Основные понятия и определения DevOps и DevSecOps.
• Ключевые компоненты DevSecOps (анализ кода, управление изменениями, мониторинг соотвествия, иследование угроз безопасности, оценка уязвимости кода, обучение и повышение осведомленности)
• Основные этапы DevSecOps (разработка приложения и работа с репозиторием программ, непрерывная интеграция (CI) и тестирование приложения, непрерывное развертывание (CD) приложения в рабочей среде, контроль новой версии приложения в рабочей среде).
• Возможные сценарии интеграции DevSecOps в процессы и инфраструктуру компании.
• Адаптации функции кибербезопасности и интеграции DevSecOps.
• Проведение оценки безопасности процесса разработки, а также идентификация ключевых рисков и риск-факторов, связанных с недостатками процесса.
• Ключевые точки процесса разработки, где необходимо включение мер безопасности.
• Информирование сотрудников о критических рисках и мерах для их снижения.
• Контроль компонент с открытым исходным кодом (Open Source Analysis, OSA).
• Статический анализ кода (Static Application Security Testing, SAST).
• Контроль состава компонент ПО (Software Composition Analysis, SCA).
• Динамический анализ кода (Dynamic Application Security Testing, DAST/Interactive Application Security Testing, IAST/Behavioral Application Security Testing, BAST).
• Фаззинг-тестирование (fuzzing).
• Анализ бинарного кода и контроль состава контейнеров (Bytecode and Container Analysis, BCA).
• Решения для выявления и нейтрализации уязвимостей программного кода.
• Реализация WAF (Web Application Firewall).
• Интеграция технологических практик ИБ в начало конвейера CI/CD (Shift-Left подход).
• Автоматизация процессов в концепции Everything-as-a-Code.
• Формирование сообщества security-чемпионов в производственных командах для повышения инженерной security-культуры.
• Применение модели зрелости DevSecOps для оценки существующего процесса и для постоянного совершенствования.
• Обеспечение прозрачности security активностей для участников инженерного производственного процесса.
• DevSecOps-оркестрация (Application Security Testing Orchestration, ASTO) для непрерывного улучшения процесса разработки безопасного ПО.
• Требования в части идентификации и аутентификации.
• Требования по защите от несанкционированного доступа к информации.
• Требования в части регистрации событий безопасности.
• Требования контроля точности, полноты и правильности входных и выходных данных.
• Требования по обработке программных ошибок и исключительных ситуаций.
• Требования класса ASE “Оценка задания по безопасности” (ГОСТ Р ИСО/МЭК 15408-3).
• Меры по разработке безопасного программного обеспечения, реализуемые при выполнении инсталляции программы и поддержки приемки программного обеспечения.
• Меры по разработке безопасного программного обеспечения, реализуемые при решении проблем в программном обеспечении в процессе эксплуатации.
• Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента инфраструктурой среды разработки программного обеспечения.
• Принятие методологии разработки безопасного ПО, DevSecOps (оценка текущих мер безопасности и распределение ролей в команде разработки ПО, внедрение мер безопасности на стадии проектирования программных систем, внедрение инструментов и авто-тестов безопасности в пайплайн, тестирование безопасности разработанных решений, анализ выявленных уязвимостей и подготовка рекомендаций по их устранению, обучение лучшим практикам разработки безопасного ПО, Best Practices).
• Распределение ролей в процессе DevSecOps (продакт менеджер, архитектор, команда разработки, QA, AppSec специалист, DevOps инженер).
• Воспитание чемпионов безопасности Security Champions (масштабирование безопасности с помощью нескольких команд разработки, привлечение сотрудников, не связанных с безопасностью, но связанных с DevOps, создание и развитие культуры безопасности).
• Повышение осведомленности по вопросам разработки безопасного ПО.
• Развитие корпоративной культуры DevSecOps и безопасности в целом.

Курс «DevSecOps от Инфосистемы Джет»

Бесплатно

Длительность курса: 12 видео

Подробнее о курсе DevSecOps →

Формат обучения: Уроки на Ютубе

Без сертификата

Программа обучения:

• DevOps – начало работы в кластере Kubernetes
• Общее погружение
• DevOps на пальцах
• Защита кластера
• Встраивание ИБ в конвейер разработки
• Process edition
• DevOps в Tech Talks Юрий Семенюков на High Load ++ 2021
• Как пережить сертификацию по Kubernetes. Личный опыт
• Что такое Audit Policy? Вебинар из цикла DevSecOps 2-й сезон
• Зачем GitOps в Enterprise? Вебинар из цикла DevSecOps 2-й сезон
• Управление секретами: основы
• Persistent данные и резервное копирование в кластере.

Курс «Certified DevSecOps Professional от Practical DevSecOps»

Цена: разная стоимость

Подробнее о курсе DevSecOps →

Чему научитесь:

• создавать и поддерживать конвейеры DevSecOps с использованием SCA, SAST, DAST и Security as Code.
• развивать программу DevSecOps в организации.

Программа обучения:

1. Введение в основы

• Что такое DevOps?
• Строительные блоки DevOps – люди, процессы и технологии.
• Принципы DevOps – культура, автоматизация, измерение и совместное использование (CAMS).
• Преимущества DevOps – скорость, надежность, доступность, масштабируемость, автоматизация, стоимость и видимость.
• Что такое непрерывная интеграция и непрерывное развертывание?
• Общие проблемы, возникающие при использовании принципа DevOps.
• Примеры применения DevOps в передовых технологиях Facebook, Amazon и Google

2. Введение в инструменты торговли

• Gitlab/BitBucket/Github/
• Docker
• Gitlab CI/Bitbucket/Jenkins/Travis/
• OWASP ZAP/
• Ansible
• Inspec
• Практические занятия: Построение CI-конвейера с использованием Gitlab CI/Jenkins/Travis и Gitlab/Github/bitbucket.
• Практические занятия: Используйте перечисленные выше инструменты для создания полного конвейера CI/CD.

3. Безопасный SDLC и конвейер CI/CD

• Что такое безопасное SDLC
• Мероприятия безопасного SDLC и ворота безопасности.
• Модель зрелости DevSecOps (DSOMM)
• Использование инструментов для выполнения вышеуказанных действий в CI/CD
• Внедрение безопасности как часть конвейера CI/CD
• DevSecOps и проблемы с пентестированием и оценкой уязвимостей.
• Практическое занятие: Создание CI/CD конвейера, подходящего для современных приложений.
• Практическое занятие: Управление результатами в полностью автоматизированном конвейере.

4. Анализ программных компонентов (SCA) в конвейере CI/CD

• Что такое анализ программных компонентов.
• Компонентный анализ программного обеспечения и его проблемы.
• Что нужно искать в SCA-решении (бесплатном или коммерческом).
• Встраивание инструментов SCA, таких как OWASP Dependency Checker, Safety, RetireJs и NPM Audit, Snyk, в конвейер.
• Демонстрация: использование OWASP Dependency Checker для сканирования уязвимостей сторонних компонентов в кодовой базе Java.
• Практические занятия: использование RetireJS и NPM для проверки уязвимостей сторонних компонентов в кодовой базе Javascript.
• Практические занятия: использование Safety/pip для проверки уязвимостей сторонних компонентов в кодовой базе Python.

5. SAST (статический анализ) в конвейере CI/CD

• Что такое статическое тестирование безопасности приложений.
• Статический анализ и его проблемы.
• Встраивание инструментов SAST, таких как Find Bugs, в конвейер.
• Сканирование секретов для предотвращения раскрытия секретов в коде.
• Написание пользовательских проверок для выявления утечек секретов в организации.
• Практические занятия.

6. DAST (динамический анализ) в конвейере CI/CD

• Что такое динамическое тестирование безопасности приложений.
• Динамический анализ и его проблемы (управление сессиями, AJAX Crawling).
• Встраивание инструментов DAST, таких как ZAP и Burp Suite, в конвейер.
• Тестирование неправильной конфигурации SSL
• Тестирование неправильной конфигурации сервера, например, секретных папок и файлов.
• Создание базовой линии сканирования для DAST.
• Практические занятия: использование ZAP для настройки сканирования на каждый коммит/неделю/месяц.

7. Инфраструктура как код и ее безопасность

• Что такое инфраструктура как код и ее преимущества.
• Определение платформы + инфраструктуры + управление конфигурацией.
• Введение в Ansible.
• Инструменты и услуги, которые помогают достичь IaaC
• Практические занятия: Docker и Ansible
• Практические занятия: Использование Ansible для создания золотых образов и укрепления инфраструктуры.

8. Соответствие требованиям как код

• Различные подходы к работе с требованиями соответствия в масштабах DevOps
• Использование управления конфигурацией для достижения соответствия требованиям.
• Управление соответствием с помощью Inspec/OpenScap в масштабе.
• Практические занятия: Создание профиля Inspec для создания проверок соответствия для вашей организации
• Практические занятия: Использование профиля Inspec для масштабирования соответствия.

9. Управление уязвимостями с помощью пользовательских инструментов

• Подходы к управлению уязвимостями в организации.
• Практические занятия: Использование Defect Dojo для управления уязвимостями.

10. Практический процесс сертификации DevSecOps.

Курс «DevSecOps от Udemy»

Цена: 899 рублей

Подробнее о курсе DevSecOps →

Чему научитесь:

• Лучшие практики DevSecOps для построения безопасного трубопровода
• DevSecOps pipeline flow & DevOps pipeline
• Основы DevOps и DevSecOps
• DevOps + безопасность
• Jenkins Pipeline
• Интеграция инструментов безопасности
• Установка Jenkins с помощью docker
• Docker
• Бесплатный DNS-хостинг
• Контроль качества
• Автоматизация
• Автоматизированное тестирование на проникновение
• Оценка угроз
• Оценка уязвимостей
• Безопасность контейнеров
• Безопасность приложений
• DevOps
• Уведомление по электронной почте и Slack
• безопасность исходного кода (github)
• Бесплатно
• Открытый исходный код
• практика безопасного кодирования с использованием плагинов для IDE
• CI/CD
• SAST
• DAST
• Сдвиг влево
• безопасное кодирование в IDE
• github security scheck
• контейнеризация
• микросервисы
• безопасные образы docker
• безопасность контейнеров
• DevSecOps Engineering
• Обучение DevOps
• DevOps инженер.

Программа обучения:

• Введение
• Требования
• Определение DevSecOps, подход, будущая сфера применения
• Настройка и подключение виртуальных машин
• Необходимые предварительные установки на ВМ
• Настройка всех учетных записей
• Установка Jenkins
• Многопользовательское змеиное приложение запускается с сервера приложений
• Сопоставление доменного имени с ip-адресом сервера приложений
• Создание агента Jenkins
• Jenkins Pipeline Job
• Безопасность исходного кода (безопасность github)
• SAST и SCA – сканирование безопасности
• DAST – безопасность
• Безопасность контейнеров
• Веб-скрипты для включения ci/cd при каждой регистрации
• Уведомления
• крайний сдвиг влево (безопасность на уровне IDE)
• Викторина DevSecOps.