Материал данного курса позволит слушателям изучить принципы организации и построения процессов DevSecOps для обеспечения кибербезопасности при разработке корпоративных приложений и сервисов.
Предварительные требования к аудитории:
Необходимы знания общей кибербезопасности.
Аудитория курса:
Инженеры, обеспечивающие кибербезопасность при разработке корпоративных приложений и сервисов.
Модуль 1 – Процессы и компоненты DevOps.
Принципы DevOps. Компоненты DevOps. Инструменты DevOps. Процессы DevOps. Организационные аспекты DevOps.
Модуль 2 – Проблемы безопасности DevOps.
Модель угроз DevOps. Программы AppSec для контроля безопасности при разработке п/о. Проблема оценки эффективности мер и решений кибербезопасности. Базовые показатели эффективности. Улучшение и оптимизация показателей эффективности.
Модуль 3 – Безопасность компонентов Continuous Delivery.
Методика Software Composition Analysis. Методика Static Analysis Security Testing. Методика Dynamic Analysis Security Testing. Контроль зависимостей кода. Контроль и использование компонентов сборки, компиляции и запуска кода.
Модуль 4 – Безопасность компонентов Continuous Integration.
Использование pre-commit hook’ов. Анализ кода и предотвращение утечек данных через исходный код.
Модуль 5 – Компоненты Continuous Monitoring.
Измерение базовых показателей эффективности кибербезопасности и результатов их улучшения. Измерение времени жизни угроз. Измерение снижения объёма угроз. Измерение скорости появления угроз. Измерение времени между появлением угроз. Измерение скорости утери контроля над угрозами. Мониторинг событий и инцидентов кибербезопасности. Реагирование на события и инциденты кибербезопасности. Модернизация модели угроз и расчетов рисков на основании данных о новых событиях и инцидентах.
Модуль 6 – Безопасность инфраструктуры DevOps.
Безопасность инфраструктуры виртуализации. Безопасность инфраструктуры контейнеризации. Безопасность при взаимодействии с «облаком». Безопасность инструментов DevOps. Обеспечение безопасного взаимодействия с API.
