О курсеПрограммаКоманда курсаСтоимость
КомпаниямЗаписаться на курс
Через 3 месяца вы сможете
  • Объяснить принципы DevSecOps и описать, как безопасность интегрируется в DevOps‑процессы на всех этапах SDLC
  • Настраивать и внедрять в CI/CD-пайплайны инструменты безопасности: SAST, SCA, DAST, WAF, Trivy, Vault и другие
  • Оценивать уязвимости в коде, зависимостях, контейнерах и инфраструктуре при помощи современных средств автоматизации
  • Разрабатывать и внедрять безопасные пайплайны с учётом угроз, рисков и лучших практик DevSecOps
  • Анализировать и минимизировать риски, используя фреймворки угроз и зрелости безопасности
  • Повышать уровень безопасности контейнеров и кластеров Kubernetes при помощи защитных мер по рекомендациям CIS Benchmarks
  • Настраивать безопасное хранение секретов и контролировать доступ к инфраструктуре при помощи Vault, Keycloak и LDAP
  • Использовать Linux-механизмы безопасности (AppArmor, SELinux, Seccomp) для защиты среды исполнения
  • Проводить тестирование на проникновение и анализ инцидентов при помощи Nmap, Metasploit, SIEM и других инструментов
Освоите стек технологий, который соответствует современным требованиям DevSecOps

Docker
Harbor
Trivy
SonarQube
Kubernetes
Keycloak
Vault
Terraform
Ansible
Metasploit
Nmap
Shift Left
Secure SDLC
SIEM-системы
CIS Benchmarks
Threat Modeling
OWASP Top 10
Snyk
Burp Suite
iptables
nftables
Postmortem
DefectDojo
BSIMM
WAF
Программа курса
Рассчитана на 3 месяца; нагрузка — от 15 часов в неделю
1 проект・1 неделя
Введение в DevSecOps
  • Shift Left
  • Secure SDLC
  • Threat Modeling
  • OWASP Top 10
  • MITRE ATT&CK
  • MITRE ATLAS
Принципы DevSecOps
Изучите их и роль безопасности на всех этапах SDLC, сможете определять базовые угрозы безопасности в разработке и эксплуатации
Пайплайны DevSecOps
Построите базовый пайплайн, используя концепции Shift Left и непрерывной безопасности
Основные типы уязвимостей и атак
Классифицируете уязвимости и угрозы в приложениях, изучите базовые фреймворки угроз: OWASP Top 10, MITRE ATT&CK, MITRE ATLAS
Построите схему DevSecOps-пайплайна. Классифицируете угрозы на примерах приложений. Составите чек-лист OWASP Top 10 для тестового приложения
1 проект・2 недели
Инструменты и технологии DevSecOps
  • SonarQube
  • Snyk
  • Trivy
  • OWASP ZAP
  • Burp Suit
  • Secure SDLC
  • Shift Left Testing
Виды анализа безопасности приложений
Изучите основные виды анализа: статический (SAST), композиционный (SCA), динамический (DAST)
Интеграция SAST-, SCA- и DAST-инструментов
Интегрируете инструменты анализа безопасности в CI/CD-процессы
Использование Secure SDLC и Shift Left Testing
Научитесь выявлять и устранять уязвимости в коде и зависимостях
Настроите SAST-анализ проекта через SonarQube или Snyk и SCA-сканирование зависимостей через Trivy. Интегрируете DAST-тестирования с OWASP ZAP в пайплайн CI/CD. Проанализируете результаты сканирования и исправите найденные уязвимости
1 проект・1 неделя
Безопасность Linux
  • AppArmor
  • SELinux
  • Seccomp
  • iptables
  • nftables
Основные механизмы безопасности Linux
Изучите основные механизмы безопасности операционных систем на базе Linux
Настройка контроля доступа
Научитесь управлять пользователями, группами и правами доступа в Linux, настроите политики безопасности через AppArmor и SELinux, примените механизмы ограничения системных вызовов через Seccomp
Средства защиты ядра и процессов
Научитесь применять базовые средства защиты ядра и процессов, настроите сетевые правила безопасности в Linux
Настроите политики AppArmor для ограничения прав приложений. Ограничите системные вызовы контейнера через Seccomp. Проверите и настроите базовые политики доступов к файлам и каталогам, а также к фильтрации сетевого трафика через iptables
1 проект・1 неделя
Безопасность Docker
  • Docker
  • Harbor
  • Trivy
  • CIS Benchmarks
Изоляция в Docker, угрозы и атаки на контейнеры
Изучите принципы изоляции в Docker, сможете идентифицировать угрозы и атаки, связанные с контейнеризацией приложений
Сборка и запуск контейнеров
Научитесь применять лучшие практики безопасности на этапе сборки образов (минимизация базовых образов, отказ от лишних привилегий) и запускать контейнеры в рантайме
Docker Registry с Harbor
Развернёте и безопасно настроите приватные репозитории для хранения Docker-образов с помощью Harbor
Анализ безопасности контейнеров
Проанализируете уязвимости контейнерных образов с помощью специализированных инструментов
Примените лучшие практики безопасности на этапах сборки образов и запуска контейнеров. Интегрируете инструменты для анализа безопасности в CI/CD‑процессы
1 проект・1 неделя
Безопасность Kubernetes
  • Kubernetes
  • CIS Kubernetes Benchmark
  • RBAC
  • NetworkPolicies
Угрозы безопасности в K8s
Научитесь анализировать риски и угрозы в Kubernetes-кластере
Политики безопасности в K8s
Настроите политики безопасности и сетевые политики (PodSecurityPolicies и NetworkPolicies) в кластере Kubernetes
Защита K8s-кластеров
Научитесь применять лучшие практики безопасности для защиты кластеров (CIS Benchmarks для Kubernetes)
Развернёте кластер Kubernetes и настроите базовые политики безопасности и сетевые политики для ограничения трафика. Примените рекомендации CIS Benchmark на практике. Ограничите права приложений через настройки RBAC
1 проект・1 неделя
Безопасность инфраструктуры
  • LDAP
  • Keycloack
  • Vault
  • Terraform
  • Ansible
Управление пользователями и доступами
Настроите реалмы, федерации и пользователей в Keycloak, интегрируете Keycloak с внешними системами через LDAP
Хранение секретов
Настроите безопасное хранение секретов и политик доступа в Vault
Инфраструктура как код (IaC)
Научитесь использовать безопасные подходы при работе с Terraform и Ansible
Интеграция в CI/CD
Интегрируете в CI/CD-процессы системы управления доступами и секретами для безопасной работы
Настроите Keycloak, развернёте Vault и интегрируете его в пайплайн CI/CD. Настроите в Harbor безопасное хранение Docker-образов с аутентификацией через Keycloak. Используете базовые правила безопасности при работе с Terraform и Ansible
1 проект・1 неделя
Тестирование безопасности
  • Metasploit
  • Nmap
  • OWASP Testing Guide
  • Penetration Testing
Принципы тестирования безопасности
Проведёте базовое тестирование приложения и инфраструктуры на безопасность
Инструменты для тестирования безопасности
Научитесь искать и анализировать уязвимости с помощью Metasploit и Nmap
Безопасное окружение
Подготовите окружение для безопасного тестирования
Развернёте тестовое приложение для проверки безопасности. Используете Nmap для сканирования портов и выявления уязвимых сервисов. Проведёте базовые тесты безопасности приложений с помощью Metasploit
1 проект・1 неделя
Мониторинг и реагирование на инциденты
  • SIEM-системы
  • MITRE ATT&CK
  • Postmortem
SIEM-системы
Настроите с помощью SIEM-систем мониторинг событий безопасности: сбор, анализ и корреляцию событий
MITRE ATT&CK
Научитесь применять фреймворк MITRE ATT&CK для интерпретации и классификации атак
Анализ инцидентов и Postmortem
Проведёте первичный анализ инцидента и подготовите Postmortem по результатам инцидента
Настроите мониторинг событий безопасности через SIEM. Сделаете корреляцию событий в реальном времени с помощью MITRE ATT&CK. Проанализируете инцидент на основе собранных логов, напишете Postmortem по итогам анализа инцидента
2 проекта・1 неделя
Оценка угроз и рисков, фреймворки оценки уровня зрелости безопасности
  • OWASP Threat Modeling
  • MITRE ATT&CK
  • DefectDojo
  • BSIMM
  • OWASP SAMM
  • ISO 27001
  • NIST 800-53
Threat Modeling
Построите модель угроз для приложений и инфраструктуры, разработаете сценарии атак на основе Threat Modeling
Управление уязвимостями
Научитесь использовать DefectDojo для управления уязвимостями
Зрелость процессов безопасности
Оцените процессы безопасности через фреймворки BSIMM и OWASP SAMM, примените международные стандарты безопасности (ГОСТ, ISO, NIST)
Проведёте Threat Modeling для тестового приложения. Разработаете сценарии атак на основе построенной модели угроз, проведёте учёт и научитесь управлять уязвимостями с помощью DefectDojo. Оцените уровень зрелости безопасности проекта и разработаете стратегию его повышения на основе выявленных рисков и уязвимостей
Самостоятельно・3 недели
Итоговый проект
Оцените уровень DevSecOps-практик в приложении и предложите план улучшений. В результате создадите DevSecOps-пайплайн, построите модель угроз, проанализируете риски, проведёте оценку зрелости практик DevSecOps и сформируете набор рекомендаций.
Как устроен курс
Наглядная теория на интерактивной платформе
Материалы разработаны на основе реальных задач, в которых применяются принципы и практики DevSecOps. Можно заниматься в своём темпе и совмещать с работой.
Очень много практики
За курс сделаете 9 проектов — закрепите новые навыки и пополните портфолио. Работы важно сдавать в срок, чтобы получить подробную обратную связь от экспертов.
Воркшопы с экспертами
На них опытные наставники разберут кейсы и продемонстрируют, как технологии и навыки из курса можно применять для ваших задач.
YandexGPT помогает учиться
Когда в теории что-то непонятно, нейросеть объяснит это другими словами. А в конце каждого урока подготовит краткий пересказ о самом главном.
Курс по DevSecOps подойдёт, если у вас уже есть базовые знания по DevOps
Если считаете, что вам пока не хватает знаний, рекомендуем выбрать курс на 9 месяцев
На нём вы сперва освоите методолгию DevOps, а через 6 месяцев перейдёте к DevSecOps

Попробуйте любой формат курса бесплатно — выбрать один-единственный можно позже

  •                                        

Что входит в любой формат

  • Ещё можно платить частями Практикуму столько месяцев, сколько идёт курс. Общая стоимость будет меньше, чем в рассрочку от банка
  • Вернём деньги в любой момент за остаток курса,
    если что-то не понравится. Подробности — в 7 пункте оферты
Этот курс может оплатить
ваш работодатель
Полностью или разделив оплату с вами,
например 50/50 или 75/25
  • Расскажем всё про курс
  • Сообщим стоимость
  • Ответим на ваши вопросы
  • Подготовим договор и счёт
Отвечаем на вопросы
Каким требованиям нужно соответствовать?
Курс рассчитан на IT-специалистов, у которых уже есть опыт работы с DevOps‑инструментами.

Для успешного обучения на курсе у вас должны быть:
  • Базовые навыки работы с Linux: знание команд ls, cd, mkdir, rm, cat и другие.
  • Опыт работы с Git.
  • Опыт работы с Docker.
  • Опыт работы с CI/CD: GitLab, Jenkins, TeamCity, CircleCI, TravisCI, GitHub Actions.

Если у вас нет опыта работы с DevOps, вы можете выбрать курс на 9 месяцев — сперва за 6 месяцев освоить принципы DevOps, а затем перейти к DevSecOps.
Кто будет меня учить?
Все наставники — специалисты из крупных российских и международных компаний с большим опытом работы с инструментами DevSecOps.
Что делать, если я не справлюсь с нагрузкой?
Если случилось непредвиденное или понадобилось уделить больше времени закреплению материала, напишите своему куратору. Он поможет перенести дедлайн сдачи проекта или перевестись в более поздний поток. На общую стоимость курса это не повлияет.
Если не понравится, я могу вернуть деньги?
Конечно. Если поток ещё не стартовал, вернём всю сумму. Если учёба уже началась, придётся оплатить прошедшие дни со старта вашего первого потока — но мы вернём деньги за остаток курса. Более подробно рассказываем об этом в 7 пункте оферты.
Получу ли я какой-то документ после курса?
Да, для этого нужно закончить курс и успешно выполнить итоговый проект. Тогда выдадим вам сертификат о повышении квалификации в электронном виде.

А если не получится, по запросу выдадим электронную справку об обучении — с перечнем модулей, которые вы освоили.
Вы поможете сменить или найти работу?
На этом курсе не предусмотрена помощь с трудоустройством, поскольку он для действующих специалистов, у которых уже есть навыки поиска работы.

Но если у вас появится вопрос о карьерном развитии, обратитесь в нашу службу поддержки — постараемся ответить.
Как можно оплатить?
Банковской картой: внести всю сумму сразу или платить ежемесячно.

Ежемесячные платежи работают так: вы вносите первую оплату, и в этот момент привязывается карта. С этой карты автоматически будут списываться следующие платежи каждые 30 календарных дней. Например, оплатили 25 марта — следующий платёж пройдёт 24 апреля. Обучение будет стоить меньше, если оплатить весь курс сразу.

Через компанию: юридические лица также могут оплатить обучение в Практикуме. Чтобы заказать счёт для оплаты, оставьте заявку на странице для корпоративных клиентов.
На каком языке проходит обучение?
Всё будет на русском: теория, практические задания и вебинары, а ещё чаты с куратором, наставником и другими студентами.

Давайте поможем

Мы работаем с 12:00 до 21:00 по Астане и связываемся в течение одного дня. Если оставите заявку сейчас, то перезвоним уже в рабочее время.