DevSecOps в облачном CI/CD

Чему вы научитесь на курсе

• Поймёте, как внедрение методологии DevSecOps помогает защитить ваши приложения от угроз. Попробуете взглянуть на систему глазами злоумышленника, выявляя и эксплуатируя распространённые уязвимости;
• Разберётесь, чем DevSecOps пайплайн отличается от классического DevOps, освоите GitLab Community Edition и познакомитесь с различными opensource-инструментами для безопасности, научитесь интегрировать их в CI/CD;
• Изучите White box testing — анализ исходного кода для обнаружения слабых мест, научитесь применять статические сканеры безопасности (SD, SAST, SCA) в рамках CI пайплайнов;
• Поймёте, когда статического анализа недостаточно и как Black box testing помогает выявить уязвимости динамическим тестированием (DAST, OAST), имитируя поведение атакующих;
• Освоите развертывание и настройку Security Dashboard для наглядного мониторинга безопасности и повышения продуктивности DevSecOps-команды.

Для кого предназначен курс

Программа ориентирована на DevOps-инженеров среднего уровня и выше, желающих углубить знания в области безопасности. Мы не обучаем профессии с нуля, а погружаем в практические аспекты DevSecOps, расширяя привычные CI/CD процессы специализированными инструментами для защиты приложений.

Практическая работа в роли DevOps-инженера Kickoff Money

В ходе обучения вы станете частью команды компании Kickoff Money, которая возрождает своё legacy-приложение FineNoMore — сервис для проверки автомобильных штрафов онлайн. Ваши задачи:

• Выявить текущие уязвимости в FineNoMore;
• Встроить автоматизированные проверки безопасности в CI/CD пайплайн с использованием opensource DevSecOps инструментов;
• Устранить обнаруженные слабости и гарантировать безопасность приложения.

Требуемые навыки и знания

• Знакомство с облачными платформами и концепцией Infrastructure as Code (IaC): опыт работы с Yandex Cloud, умение использовать консоль и CLI для создания инфраструктуры;
• Практика работы с Terraform для автоматизации развёртывания ресурсов;
• Опыт использования Docker и Kubernetes: понимание основных команд Docker, написание Dockerfile, развёртывание приложений в Kubernetes с использованием Helm;
• Навыки работы с системами контроля версий и CI/CD: опыт работы с GitLab, GitHub или BitBucket, создание базовых пайплайнов для сборки и деплоя.

Структура курса

• Введение — обзор программы и рекомендации по подготовке;
• Подготовка рабочей среды;
• Настройка CI/CD пайплайна и эксплуатация уязвимостей;
• Интеграция DevSecOps инструментов в автоматизированный пайплайн;
• Тестирование приложения и проверка устранения уязвимостей;
• Заключительный этап — подведение итогов и рекомендации для дальнейшего развития.