DevSecOps в облачном CI/CD

  • Бесплатный курс
  • 7 модулей с теорией и практикой

На курсе вы узнаете

Как методология DevSecOps помогает обеспечивать безопасность ваших приложений
Почувствуете себя настоящим хакером и попробуете взломать приложение, эксплуатируя наиболее распространённые уязвимости
Чем отличается DevSecOps‑пайплайн от DevOps‑пайплайна
Познакомитесь с GitLab Community Edition и различными опенсорсными инструментами для проверки безопасности приложений, научитесь встраивать их в CI‑пайплайны
Что такое White box testing и какие уязвимости можно найти путём анализа исходного кода приложения
Изучите и научитесь встраивать в CI‑пайплайны различные опенсорсные инструменты для статического анализа безопасности исходного кода приложения: SD, SAST и SCA
Что такое Black box testing и когда статического анализа исходного кода недостаточно
Изучите и научитесь встраивать в CI‑пайплайны различные опенсорсные инструменты для динамического анализа безопасности приложения путём эмуляции действий злоумышленника: DAST и OAST
Что такое Security Dashboard и как он повышает эффективность работы DevSecOps‑команды
Самостоятельно развернёте и настроите Security Dashboard для удобной визуализации результатов работы вашего DevSecOps‑пайплайна

Курс будет полезен практикующим DevOps‑инженерам уровня Middle и выше

Мы не учим вас профессии, а на практике знакомим с методологией DevSecOps. Вы расширите ваши CI/CD‑пайплайны специализированными сканерами и анализаторами, чтобы обезопасить свои приложения.

На время прохождения курса вы станете DevOps‑инженером в компании Kickoff Money

Компания решила воскресить своё legacy‑приложение FineNoMore для проверки автомобильных штрафов онлайн. Ваши задачи:

  • определить, какие активные уязвимости существуют в FineNoMore;
  • добавить в CI‑пайплайн FineNoMore автоматизированные проверки безопасности, используя опенсорсные DevSecOps‑инструменты;
  • устранить все уязвимости в FineNoMore и убедиться в его безопасности.

Мы ждём, что вы

card-image

Знакомы с облаками и концептом Infrastructure as Code (IaC):

  • знакомы с Yandex Cloud, умеете использовать облачную консоль Yandex Cloud и интерфейс командной строки (CLI) для создания облачной инфраструктуры;
  • работали с Terraform и умеете использовать его для автоматизации развёртывания IT‑инфраструктуры
card-image

Знакомы с Docker и Kubernetes:

  • работали с Docker, знаете основные команды и понимаете Dockerfiles;
  • работали с Kubernetes;
  • знакомы с Helm и умеете применять его для развёртывания приложений в Kubernetes
card-image

Работали с Git, SCM и CI/CD‑системами:

  • работали с GitLab, GitHub, BitBucket и знаете, как настроить базовые CI/CD‑пайплайны для сборки и развёртывания

Программа

Введение

Расскажем подробнее о том, что вас будет ждать в курсе и дадим рекомендации, как подготовиться к его прохождению.

Расскажем подробнее о том, что вас будет ждать в курсе и дадим рекомендации, как подготовиться к его прохождению.

1. Подготовка окружения

  • Познакомимся с инфраструктурой, необходимой для прохождения курса.
  • Практика. Развернём необходимую для прохождения курса инфраструктуру:
  1. Рабочее место с необходимым ПО.
  2. Yandex Container Registry.
  3. Кластер Yandex Managed Service for Kubernetes®.
  4. Инстанс Yandex Managed Service for GitLab.
  5. Развернём GitLab Runner с Kubernetes executor.
  • Познакомимся с инфраструктурой, необходимой для прохождения курса.
  • Практика. Развернём необходимую для прохождения курса инфраструктуру:
  1. Рабочее место с необходимым ПО.
  2. Yandex Container Registry.
  3. Кластер Yandex Managed Service for Kubernetes®.
  4. Инстанс Yandex Managed Service for GitLab.
  5. Развернём GitLab Runner с Kubernetes executor.

2. Настройка CI/CD‑пайплайна и эксплуатация уязвимостей

  • Познакомимся с основными этапами построения CI/CD‑пайплайнов и узнаем, как они конфигурируются в GitLab.
  • Узнаем, как использовать Kubernetes для размещения GitLab Runners.
  • Изучим различные типы GitLab Runners и узнаем о преимуществах Docker‑in‑Docker.
  • Практика. Настроим CI/CD‑пайплайн для сборки и развёртывания приложения в кластере Yandex Managed Service for Kubernetes®.
  • Познакомимся c OWASP и другими распространёнными видами уязвимостей, рассмотрим возможные последствия не найденных вовремя уязвимостей.
  • Практика. Проверим веб‑приложение на наличие уязвимостей, эмулируя действия злоумышленника.
  • Познакомимся с основными этапами построения CI/CD‑пайплайнов и узнаем, как они конфигурируются в GitLab.
  • Узнаем, как использовать Kubernetes для размещения GitLab Runners.
  • Изучим различные типы GitLab Runners и узнаем о преимуществах Docker‑in‑Docker.
  • Практика. Настроим CI/CD‑пайплайн для сборки и развёртывания приложения в кластере Yandex Managed Service for Kubernetes®.
  • Познакомимся c OWASP и другими распространёнными видами уязвимостей, рассмотрим возможные последствия не найденных вовремя уязвимостей.
  • Практика. Проверим веб‑приложение на наличие уязвимостей, эмулируя действия злоумышленника.

3. Внедрение DevSecOps‑инструментов в CI/CD‑пайплайн

  • Познакомимся с различными типами DevSecOps‑инструментов и поймём, на каких этапах CI‑пайплайна необходимо их внедрять, чтобы обнаруживать потенциальные уязвимости как можно раньше и устранять их максимально эффективно.
  • Практика:
  1. Настроим DevSecOps‑инструменты и встроим их в GitLab CI‑пайплайн.
  2. Настроим Security Dashboard для визуализации результатов работы DevSecOps‑пайплайна.
  • Познакомимся с различными типами DevSecOps‑инструментов и поймём, на каких этапах CI‑пайплайна необходимо их внедрять, чтобы обнаруживать потенциальные уязвимости как можно раньше и устранять их максимально эффективно.
  • Практика:
  1. Настроим DevSecOps‑инструменты и встроим их в GitLab CI‑пайплайн.
  2. Настроим Security Dashboard для визуализации результатов работы DevSecOps‑пайплайна.

4. Тестирование приложения без уязвимостей

  • Узнаем, как исправить наиболее распространённые уязвимости безопасности.
  • Практика. Устраним все обнаруженные ранее уязвимости и повторно проверим приложение на безопасность.
  • Узнаем, как исправить наиболее распространённые уязвимости безопасности.
  • Практика. Устраним все обнаруженные ранее уязвимости и повторно проверим приложение на безопасность.

Итоги курса

  • Проверим ваши знания.
  • Подведём итоги обучения и расскажем о том, какие из наших курсов могут быть вам полезны.
  • Проверим ваши знания.
  • Подведём итоги обучения и расскажем о том, какие из наших курсов могут быть вам полезны.

Модули 3 и 4 пока находятся в разработке. Мы обязательно оповестим всех зарегистрированных на курс пользователей, как только эти модули станут доступны для прохождения.

Авторы курса

card-image

Алексей Миртов

Архитектор Yandex Cloud

card-image

Рами Мулейс

Менеджер продуктов Yandex Cloud

card-image

Игорь Саблин

Архитектор Hilbert Team

card-image

Лев Николаев

Зав. кафедрой «Информационная безопасность» Технической академии Росатома

Курс разработан совместно с Hilbert Team

Команда инженеров Hilbert Team бесшовно перенесёт ваш бизнес в облако, поможет оптимизировать и автоматизировать IT‑инфраструктуру и процессы, закроет все требуемые компетенции и сопроводит ваш проект.

Как вы будете учиться

Изучение теории
Читайте интересные лонгриды в любое удобное время
Решение практических заданий
Пошагово выполняйте все действия по подробным руководствам
Поддержка и обмен опытом
Делитесь опытом с коллегами в Telegram-чате комьюнити Yandex Cloud: Security

Частые вопросы

Как организована практическая часть курса?

Практические задания курса вы будете проходить в Yandex Cloud. Для их выполнения нужно оплатить ресурсы облака. Большую часть расходов покроет стартовый грант.

Стартовый грант выдаётся, когда вы создаёте первый аккаунт в Yandex Cloud. Сейчас размер гранта 4 тысячи рублей, а срок действия 60 дней.

Чтобы эффективно использовать облачные ресурсы и не тратить лишних денег, следуйте рекомендациям в заданиях.

Практические задания курса вы будете проходить в Yandex Cloud. Для их выполнения нужно оплатить ресурсы облака. Большую часть расходов покроет стартовый грант.

Стартовый грант выдаётся, когда вы создаёте первый аккаунт в Yandex Cloud. Сейчас размер гранта 4 тысячи рублей, а срок действия 60 дней.

Чтобы эффективно использовать облачные ресурсы и не тратить лишних денег, следуйте рекомендациям в заданиях.

Сколько времени займёт прохождение курса?

Вы самостоятельно планируете график своего обучения.

Если закладывать на уроки три часа два раза в неделю, то вы сможете пройти курс примерно за две недели.

Вы самостоятельно планируете график своего обучения.

Если закладывать на уроки три часа два раза в неделю, то вы сможете пройти курс примерно за две недели.

Получу ли я сертификат?

Нет, на этом курсе не предусмотрено получение сертификата.

Нет, на этом курсе не предусмотрено получение сертификата.

Начните обучение сегодня

Настройте свой первый DevSecOps‑пайплайн и узнайте, насколько безопасны ваши приложения