Курс: Построение непрерывного процесса безопасной разработки DevSecOps
Продолжительность курса: 16 ак. ч.
Описание курса:
Программа курса направлена на получение информации о методологии и концепте DevSecOps, подходах к внедрению в процесс непрерывной разработки. Слушатели получат знания об основных методологиях и практиках Application Security, познакомятся со способами внедрения инструментов безопасности в процесс разработки и бизнес-процессами в рамках DevSecOps Application Security.
Аудитория:
• Разработчики, будущие Security Champions в командах разработки.
Необходимая подготовка:
Не требуется.
Программа курса:
Модуль 1. Основы DevSecOps и подходы к его внедрению:
• Обзор ключевых аспектов: анализ кода, управление изменениями, мониторинг соответствия требованиям, исследование угроз безопасности, оценка уязвимостей в коде, обучение сотрудников и повышение уровня информированности;
• Этапы DevSecOps: разработка приложения и работа с репозиторием, непрерывная интеграция (CI) и тестирование, непрерывное развертывание (CD), контроль версий в рабочей среде;
• Способы интеграции DevSecOps в бизнес-процессы и ИТ-инфраструктуру организации;
• Ключевые точки в процессе разработки ПО, на которых необходимо применять меры защиты.
Модуль 2. Основные практики обеспечения безопасности приложений (AppSec):
• Анализ компонентов с открытым исходным кодом при их использовании в проектах (Open Source Analysis, OSA);
• Применение статического анализа кода (SAST);
• Динамический анализ (DAST), интерактивный (IAST) и поведенческий (BAST);
• Внедрение технических мер безопасности, таких как WAF (Web Application Firewall) и другие.
Модуль 3. Построение процесса безопасной разработки на практике:
• Рассмотрение основных принципов создания безопасных процессов разработки программного обеспечения;
• Реализация подходов и методик в реальных кейсах.
Модуль 4. Введение в DevOps:
• Организация документооборота в рамках DevOps-подхода;
• Обзор популярных методологий разработки ПО и интеграции вопросов информационной безопасности: Waterfall, RUP, MSF, Agile (Scrum, Kanban);
• Управление взаимодействием внутри команд и между ними;
• Инструментарий DevOps-инженера: обзор базовых и специализированных инструментов;
• Основы микросервисной архитектуры и контейнеризации.
Модуль 5. Application Security: концепция, подходы, интеграция в DevSecOps:
• Введение в AppSec: определение, цели, модели построения;
• Интеграция Application Security Testing Orchestration (ASTO) для автоматизации проверок безопасности в процессе CI/CD и повышения качества ПО.
Модуль 6. SAST и DAST: понятие, задачи, внедрение в CI/CD:
• Статический анализ безопасности исходного кода (SAST);
• Динамические и интерактивные методы анализа (DAST, IAST);
• Интеграция практик информационной безопасности на ранних этапах pipeline.
Модуль 7. Открытые исходные коды: плюсы и минусы:
• Преимущества использования open-source решений: гибкость, экономия средств, возможность кастомизации;
• Возможные риски: наличие уязвимостей, проблемы авторских прав, несанкционированное использование.
Модуль 8. Угрозы информационной безопасности и их предотвращение через автоматизированные проверки CI/CD:
• Методы моделирования угроз;
• Обеспечение безопасности коммитов в Git;
• Работа с библиотеками и зависимостями;
• Непрерывный мониторинг и защита учетных данных.
Модуль 9. Анализ контейнеров: задачи, инструменты, интеграция в CI/CD:
• Основные задачи при анализе контейнеров;
• Обзор используемых инструментов;
• Особенности внедрения проверок безопасности контейнеров в цепочки CI/CD.
Модуль 10. Особенности разработки мобильных приложений с точки зрения безопасности:
• Учет специфики мобильных платформ при проектировании, разработке и тестировании;
• Управление рисками, связанными с мобильными устройствами и передачей данных.
Окончательная цена указывается в договоре на обучение.
