ТОП-6 лучших курсов DevSecOps: обучение онлайн, бесплатные и платные в 2023 году

DevSecOps — это методология разработки программного обеспечения, объединяющая DevOps и безопасность. Она уделяет особое внимание безопасности при разработке, тестировании и доставке программного обеспечения, чтобы минимизировать риски нарушения безопасности.

На курсах DevSecOps можно научиться использованию инструментов и методов для интеграции безопасности в DevOps-процессы. Кроме того, студенты могут изучить принципы безопасности и защиты данных, а также научиться применять их на практике. Курсы DevSecOps могут также помочь улучшить коммуникацию между различными командами в рамках компании и повысить эффективность работы проектов.

Курс «Внедрение и работа в DevSecOps от OTUS»

Стоимость курса: 50 000 ₽

Длительность курса: 4 месяца

Научитесь обеспечивать безопасность в непрерывном процессе разработки и продакшена.
Выбирайте и интегрируйте инструменты ИБ под свои процессы.

Уровень: Начинающие и продвинутые разработчики, DevOps-инженеры и администраторы, тестировщики, архитекторы, специалисты по информационной безопасности

Формат обучения: Онлайн-вебинары — теория / демо + ДЗ

Обратная связь: Фидбек от преподавателей

Сертификат

Чему научитесь:

  • научитесь интегрировать в CI/CD и использовать инструменты ИБ
  • приобретете знания, необходимые для успешного использования ИБ инструментария;

Программа обучения:

  1. Базис знаний информационной безопасности
  • Словарь, термины, стандарты, методики, источники информации, используемые в инструментах информационной безопасности
  • Основные принципы обеспечения информационной безопасности стека приложений и инфраструктуры.
  1. Обзор уязвимостей OWASP
  • Разбор уязвимостей OWASP Top 10 Web
  • Разбор уязвимостей OWASP Top 10 — REST API.
  1. Особенности разработки безопасного кода и использования фреймворков
  • Безопасная разработка в HTML/CSS и PHP
  • Безопасная разработка в Java/Node.js
  • Безопасная разработка в .NET
  • Безопасная разработка в Python
  • Безопасная разработка и уязвимости программного кода.
  1. Разработка безопасных контейнерных и serverless приложений
  • Обеспечение безопасности в Docker контейнерах
  • Обеспечение безопасности в Kubernetes.
  1. Интеграция и работа с инструментами ИБ в рамках DevSecOps
  • Обеспечение безопасности CI/CD тулчейна и DevOps процесса
  • Обзор DevSecOps инструментария
  • Анализ исходного кода на безопасность (SAST/ DAST/IAST)
  • Применение защиты для REST-API внутри микро-сервисных приложений и на back-end.
  • Применение Web-Application Firewall (WAF) для защиты Web, REST API, Bot protection.
  • Обеспечение безопасности в ОС Linux
  • Моделирование угроз и тестирование на проникновение
  • План проекта и методика трансформации организации в DevSecOps.
  • Современные средства периметральной безопасности сети (NGFW/Sandbox)
  • Мониторинг безопасности и реакция на события в ИБ (SIEM/SOAR).
  1. Проектный модуль
  • Выбор темы
  • Консультации и обсуждения проектной работы
  • Защита проектов.

Плюсы:

  • Обучение на практике
  • Полноценная программа обучения 4 месяца

Минусы:

  • Требуется вступительное тестирование

Кто проводит курс:

blank

Отзывы об Otus:  https://otus.ru/reviews

Курс «Профессия DevOps-инженер PRO от Skillbox»

Цена курса: Рассрочка — 4 958 ₽ / мес

Продолжительность курса: 2 года

Вы освоите методологию DevOps: объедините процессы разработки и эксплуатации, ускорите внедрение и доставку новых функций до пользователя.

Уровень: Разработчики и тестировщики, IT-специалисты уровня Junior или Middle

Формат обучения: Видеоуроки + практические и домашние задания

Обратная связь: Работа с проверяющим экспертом

Особенность: Кейсы в портфолио

Сертификат

Чему научитесь:

  • Работать с Docker
  • Работать с инфраструктурой как с кодом
  • Работать с системами контроля версий
  • Автоматизировать процессы
  • Использовать kubernetes (k8s)
  • Создавать решения мониторинга.

Программа обучения:

  1. Система контроля версий Git
  • Работаем с Git на своём компьютере.
  • Работаем с удалённым репозиторием.
  • Командная работа в Git.
  • Сравнение версий и отмена изменений.
  • Инструменты и правила работы с Git.
  1. Python Basic
  • Введение.
  • Основы работы с Python.
  • Операторы, выражения.
  • Условный оператор if, ветвления.
  • Условный оператор if: продолжение.
  • Цикл while.
  • Цикл for: циклы со счётчиком.
  • Цикл for: особенности работы с range.
  • Цикл for: работа со строками.
  • Вложенные циклы.
  • Числа. Типы int и float.
  • Функции: начало.
  • Особенности float.
  • Установка и настройка IDE.
  • Базовые коллекции. Списки.
  • List: методы работы со списками.
  • Представления списков.
  • Базовые коллекции. Строки.
  • Базовые коллекции. Словари.
  • Базовые коллекции. Кортежи.
  • Функции: продолжение.
  • Работа с файлами.
  • Исключения: работа с ошибками.
  • Введение в ООП.
  • Основные принципы ООП.
  • Итераторы и генераторы.
  • Декораторы: базовый уровень.
  • Углублённая работа с классами и встроенные декораторы.
  • Декораторы: продвинутый уровень.
  • Функции: конец.
  • Библиотеки для работы с данными.
  • Бонусный модуль. Основы работы с сетью.
  1. Devops-инженер. Основы
  • Эволюция разработки: CI/CD.
  • Введение в DevOps.
  • Знакомство с CD (Continuous delivery).
  • Continuous integration с использованием GitLab CI.
  • Continuous delivery. Работа с окружением разработки и PROD.
  • Инфраструктура как код (IaC).
  • Виртуализация.
  • Тестирование инфраструктурного кода.
  • Мониторинг.
  • Инцидент-менеджмент.
  • Инструменты.
  • Итоговый проект.
  1. Devops-инженер. Advanced
  • Введение: Yaml, утилиты, Git
  • Service Discovery
  • CMS (Configuration Management System). Ansible
  • Docker
  • CI/CD: Jenkins, GitLab
  • Мониторинг: сбор метрик
  • Мониторинг: сбор логов
  • Безопасность
  • Сети
  • Облачные сервисы
  • Итоговый проект
  1. Kubernetes
  • Интро
  • Знакомство с Kubernetes: основные понятия и архитектура
  • Основные объекты Kubernetes
  • Безопасность и управление доступом
  • Сетевая подсистема Kubernetes
  • Хранение данных в Kubernetes
  • Шаблоны: Helm и его аналоги (Jsonnet, Kustomize)
  • Requests, Limits и Load Balancing в кластере
  • Мониторинг компонентов кластера и приложений, работающих в нем
  • Service mesh. Знакомство с Istio и Envoy
  • Kubernetes для непрерывной поставки (CI/CD). Интеграция с CI сервисом
  • Эксплуатация кластера
  • Итоговый проект
  1. Docker
  • Углубите свои знания в Docker: научитесь разворачивать инфраструктуру из образов, работать с docker registry и оркестрировать контейнеры с помощью docker compose. Погрузитесь в файловую систему и рантаймы.
  1. Облачные сервисы
  • Вы изучите возможности облачных сервисов и научитесь использовать их в своей работе.
  1. Воркшопы для участников
  • Архитектура GitLab.
  • Углубляемся в Gitlab CI.
  • Решение практических задач с применением Gitlab CI.

Преимущества:

  • Гарантия трудоустройства
  • Полноценная программа обучения 2 года
  • Кейсы в портфолио

Недостатки:

  • Не обнаружено

Кто проводит курс:

  • Артём Науменко — Руководитель IT инфраструктуры SkyEng
  • Дмитрий Зайцев — Head of SRE в @flocktory.com
  • Александр Акилин — DevOps-инженер в компаниях Data Travel и Aquiva Labs
  • Константин Брюханов — Head of DevOps, Интернет-банк ВТБ
  • Александр Крылов — Lead DevOps services в Росгосстрахе
  • Евгений Дмитриев — DevOps-инженер в ИнфоТеКС
  • Илья Феоктистов — Head of DevOps в компании Bling
  • Денис Матвеев — Sysadmin/DevOps в Ignitia AB (Швеция)

Отзывы о Skillbox: https://skillbox.ru/otzyvy/

Курс «Специалист DevSecOps от Академия АйТи»

Цена: 40 000 ₽

Длительность курса: 272 ак. часа

Уровень: Требуется знание основ программирования

Формат обучения: Дистанционно

Диплом о профессиональной переподготовке

Чему научитесь:

  • Взаимодействовать с командами разработки ПО и операционными подразделениями для анализа функциональных и не функциональных требований, пользовательских сценариев на предмет безопасности;
  • Заниматься подготовкой требований по безопасности, а также контролировать соблюдение требований в процессе разработки ПО;
  • Проводить ревью безопасности разработанной архитектуры приложений (монолитной, SOA, микросервисной), ревью исходного кода ПО, тестирование безопасности релизов и систем в продакшене;
  • Управлять требованиями по безопасности, в частности моделировать и анализировать угрозы безопасности;
  • Управлять уязвимостью программных систем. Вести их учет, оценивать критичность и контролировать исправления в разработке ПО;
  • Разрабатывать шаблоны безопасной архитектуры приложений, внедрять стандартны безопасного программирования, доводить требования безопасности до команд разработки ПО;
  • Внедрять лучшие практики разработки безопасного ПО, DevSecOps (SAST, DAST, dependency check и др);
  • Своевременно информировать команды разработчиков ПО об обнаружении новых и ранее неизвестных уязвимостях программного кода и предлагать обоснованные решения для их нейтрализации.

Программа обучения:

  1. Базовый модуль: Основы программирования и составления алгоритмов
  • Алгоритм – свойства и способы представления. Типы данных – назначение и роль в программе. Операнды и операторы – вычисление выражений
  • Модели разработки программ. Структурное программирование. Базовые принципы: блочная структура кода – блоки и подпрограммы. типовые структуры управления – последовательность, ветвление, цикл
  • Соcтавление алгоритмов. Применение машинной логики к задачам поиска данных. Оценка времени работы алгоритмов, эффективность кода.
  • Практические примеры составления блок-схем и псевдокода. Простейшие алгоритмические задачи. Перевод алгоритма в код. Подпрограммы (функции) как основные блоки кода. Типовые задачи на обработку текста.
  • Понятие массива. Типовые задачи с массивами: доступ к элементу, обход элементов, инициализация элементов.
  • Простейшие конструкции данных: список, стек, очередь, дерево. Поиск элемента и сортировка элементов. Реализация динамического стека.
  • Установка интерпретатора Python. Основные операции и типы данных. Операторы ветвления и циклы. Установка и запуск среды разработки. Типы данных: числа, строки, списки, логический тип, None. Функции преобразования типов. Простой ввод и простой вывод
  • Cтроки. Методы и функции. Использование срезов. Кортеж. Основные операции с кортежем. Распаковка кортежа. Список. Основные операции со списком. Словарь. Основные операции со словарем. Множества. Основные операции с множеством
  • Ветвления. Оператор if. Базовая форма цикла while. Операторы break и continue. Перебор (for). Генераторы словарей, списков, множеств
  1. Профильный модуль. Разработка безопасного ПО.
  • Тренды разработки современного ПО (внедрение практик DevOps, снижение общих сроков разработки ПО (time to market), повышение гибкости в разработке ПО, переход от монолитных к микросервисным приложениям, динамическое выделение ИТ-ресурсов, повышение внимания к вопросам разработки безопасного ПО).
  • Основные понятия и определения DevOps и DevSecOps.
  • Ключевые компоненты DevSecOps (анализ кода, управление изменениями, мониторинг соотвествия, иследование угроз безопасности, оценка уязвимости кода, обучение и повышение осведомленности)
  • Основные этапы DevSecOps (разработка приложения и работа с репозиторием программ, непрерывная интеграция (CI) и тестирование приложения, непрерывное развертывание (CD) приложения в рабочей среде, контроль новой версии приложения в рабочей среде).
  • Возможные сценарии интеграции DevSecOps в процессы и инфраструктуру компании.
  • Адаптации функции кибербезопасности и интеграции DevSecOps.
  • Проведение оценки безопасности процесса разработки, а также идентификация ключевых рисков и риск-факторов, связанных с недостатками процесса.
  • Ключевые точки процесса разработки, где необходимо включение мер безопасности.
  • Информирование сотрудников о критических рисках и мерах для их снижения.
  • Контроль компонент с открытым исходным кодом (Open Source Analysis, OSA).
  • Статический анализ кода (Static Application Security Testing, SAST).
  • Контроль состава компонент ПО (Software Composition Analysis, SCA).
  • Динамический анализ кода (Dynamic Application Security Testing, DAST/Interactive Application Security Testing, IAST/Behavioral Application Security Testing, BAST).
  • Фаззинг-тестирование (fuzzing).
  • Анализ бинарного кода и контроль состава контейнеров (Bytecode and Container Analysis, BCA).
  • Решения для выявления и нейтрализации уязвимостей программного кода.
  • Реализация WAF (Web Application Firewall).
  • Интеграция технологических практик ИБ в начало конвейера CI/CD (Shift-Left подход).
  • Автоматизация процессов в концепции Everything-as-a-Code.
  • Формирование сообщества security-чемпионов в производственных командах для повышения инженерной security-культуры.
  • Применение модели зрелости DevSecOps для оценки существующего процесса и для постоянного совершенствования.
  • Обеспечение прозрачности security активностей для участников инженерного производственного процесса.
  • DevSecOps-оркестрация (Application Security Testing Orchestration, ASTO) для непрерывного улучшения процесса разработки безопасного ПО.
  • Требования в части идентификации и аутентификации.
  • Требования по защите от несанкционированного доступа к информации.
  • Требования в части регистрации событий безопасности.
  • Требования контроля точности, полноты и правильности входных и выходных данных.
  • Требования по обработке программных ошибок и исключительных ситуаций.
  • Требования класса ASE «Оценка задания по безопасности» (ГОСТ Р ИСО/МЭК 15408-3).
  • Меры по разработке безопасного программного обеспечения, реализуемые при выполнении инсталляции программы и поддержки приемки программного обеспечения.
  • Меры по разработке безопасного программного обеспечения, реализуемые при решении проблем в программном обеспечении в процессе эксплуатации.
  • Меры по разработке безопасного программного обеспечения, реализуемые в процессе менеджмента инфраструктурой среды разработки программного обеспечения.
  • Принятие методологии разработки безопасного ПО, DevSecOps (оценка текущих мер безопасности и распределение ролей в команде разработки ПО, внедрение мер безопасности на стадии проектирования программных систем, внедрение инструментов и авто-тестов безопасности в пайплайн, тестирование безопасности разработанных решений, анализ выявленных уязвимостей и подготовка рекомендаций по их устранению, обучение лучшим практикам разработки безопасного ПО, Best Practices).
  • Распределение ролей в процессе DevSecOps (продакт менеджер, архитектор, команда разработки, QA, AppSec специалист, DevOps инженер).
  • Воспитание чемпионов безопасности Security Champions (масштабирование безопасности с помощью нескольких команд разработки, привлечение сотрудников, не связанных с безопасностью, но связанных с DevOps, создание и развитие культуры безопасности).
  • Повышение осведомленности по вопросам разработки безопасного ПО.
  • Развитие корпоративной культуры DevSecOps и безопасности в целом.

Курс «DevSecOps от Инфосистемы Джет»

Бесплатно

Длительность курса: 12 видео

Формат обучения: Уроки на Ютубе

Без сертификата

Программа обучения:

  • DevOps – начало работы в кластере Kubernetes
  • Общее погружение
  • DevOps на пальцах
  • Защита кластера
  • Встраивание ИБ в конвейер разработки
  • Process edition
  • DevOps в Tech Talks Юрий Семенюков на High Load ++ 2021
  • Как пережить сертификацию по Kubernetes. Личный опыт
  • Что такое Audit Policy? Вебинар из цикла DevSecOps 2-й сезон
  • Зачем GitOps в Enterprise? Вебинар из цикла DevSecOps 2-й сезон
  • Управление секретами: основы
  • Persistent данные и резервное копирование в кластере.

Курс «Certified DevSecOps Professional от Practical DevSecOps»

Цена: разная стоимость

Чему научитесь:

  • создавать и поддерживать конвейеры DevSecOps с использованием SCA, SAST, DAST и Security as Code.
  • развивать программу DevSecOps в организации.

Программа обучения:

  1. Введение в основы
  • Что такое DevOps?
  • Строительные блоки DevOps — люди, процессы и технологии.
  • Принципы DevOps — культура, автоматизация, измерение и совместное использование (CAMS).
  • Преимущества DevOps — скорость, надежность, доступность, масштабируемость, автоматизация, стоимость и видимость.
  • Что такое непрерывная интеграция и непрерывное развертывание?
  • Общие проблемы, возникающие при использовании принципа DevOps.
  • Примеры применения DevOps в передовых технологиях Facebook, Amazon и Google
  1. Введение в инструменты торговли
  • Gitlab/BitBucket/Github/
  • Docker
  • Gitlab CI/Bitbucket/Jenkins/Travis/
  • OWASP ZAP/
  • Ansible
  • Inspec
  • Практические занятия: Построение CI-конвейера с использованием Gitlab CI/Jenkins/Travis и Gitlab/Github/bitbucket.
  • Практические занятия: Используйте перечисленные выше инструменты для создания полного конвейера CI/CD.
  1. Безопасный SDLC и конвейер CI/CD
  • Что такое безопасное SDLC
  • Мероприятия безопасного SDLC и ворота безопасности.
  • Модель зрелости DevSecOps (DSOMM)
  • Использование инструментов для выполнения вышеуказанных действий в CI/CD
  • Внедрение безопасности как часть конвейера CI/CD
  • DevSecOps и проблемы с пентестированием и оценкой уязвимостей.
  • Практическое занятие: Создание CI/CD конвейера, подходящего для современных приложений.
  • Практическое занятие: Управление результатами в полностью автоматизированном конвейере.
  1. Анализ программных компонентов (SCA) в конвейере CI/CD
  • Что такое анализ программных компонентов.
  • Компонентный анализ программного обеспечения и его проблемы.
  • Что нужно искать в SCA-решении (бесплатном или коммерческом).
  • Встраивание инструментов SCA, таких как OWASP Dependency Checker, Safety, RetireJs и NPM Audit, Snyk, в конвейер.
  • Демонстрация: использование OWASP Dependency Checker для сканирования уязвимостей сторонних компонентов в кодовой базе Java.
  • Практические занятия: использование RetireJS и NPM для проверки уязвимостей сторонних компонентов в кодовой базе Javascript.
  • Практические занятия: использование Safety/pip для проверки уязвимостей сторонних компонентов в кодовой базе Python.
  1. SAST (статический анализ) в конвейере CI/CD
  • Что такое статическое тестирование безопасности приложений.
  • Статический анализ и его проблемы.
  • Встраивание инструментов SAST, таких как Find Bugs, в конвейер.
  • Сканирование секретов для предотвращения раскрытия секретов в коде.
  • Написание пользовательских проверок для выявления утечек секретов в организации.
  • Практические занятия.
  1. DAST (динамический анализ) в конвейере CI/CD
  • Что такое динамическое тестирование безопасности приложений.
  • Динамический анализ и его проблемы (управление сессиями, AJAX Crawling).
  • Встраивание инструментов DAST, таких как ZAP и Burp Suite, в конвейер.
  • Тестирование неправильной конфигурации SSL
  • Тестирование неправильной конфигурации сервера, например, секретных папок и файлов.
  • Создание базовой линии сканирования для DAST.
  • Практические занятия: использование ZAP для настройки сканирования на каждый коммит/неделю/месяц.
  1. Инфраструктура как код и ее безопасность
  • Что такое инфраструктура как код и ее преимущества.
  • Определение платформы + инфраструктуры + управление конфигурацией.
  • Введение в Ansible.
  • Инструменты и услуги, которые помогают достичь IaaC
  • Практические занятия: Docker и Ansible
  • Практические занятия: Использование Ansible для создания золотых образов и укрепления инфраструктуры.
  1. Соответствие требованиям как код
  • Различные подходы к работе с требованиями соответствия в масштабах DevOps
  • Использование управления конфигурацией для достижения соответствия требованиям.
  • Управление соответствием с помощью Inspec/OpenScap в масштабе.
  • Практические занятия: Создание профиля Inspec для создания проверок соответствия для вашей организации
  • Практические занятия: Использование профиля Inspec для масштабирования соответствия.
  1. Управление уязвимостями с помощью пользовательских инструментов
  • Подходы к управлению уязвимостями в организации.
  • Практические занятия: Использование Defect Dojo для управления уязвимостями.
  1. Практический процесс сертификации DevSecOps.

Курс «DevSecOps от Udemy»

Цена: 899 рублей

Чему научитесь:

  • Лучшие практики DevSecOps для построения безопасного трубопровода
  • DevSecOps pipeline flow & DevOps pipeline
  • Основы DevOps и DevSecOps
  • DevOps + безопасность
  • Jenkins Pipeline
  • Интеграция инструментов безопасности
  • Установка Jenkins с помощью docker
  • Docker
  • Бесплатный DNS-хостинг
  • Контроль качества
  • Автоматизация
  • Автоматизированное тестирование на проникновение
  • Оценка угроз
  • Оценка уязвимостей
  • Безопасность контейнеров
  • Безопасность приложений
  • DevOps
  • Уведомление по электронной почте и Slack
  • безопасность исходного кода (github)
  • Бесплатно
  • Открытый исходный код
  • практика безопасного кодирования с использованием плагинов для IDE
  • CI/CD
  • SAST
  • DAST
  • Сдвиг влево
  • безопасное кодирование в IDE
  • github security scheck
  • контейнеризация
  • микросервисы
  • безопасные образы docker
  • безопасность контейнеров
  • DevSecOps Engineering
  • Обучение DevOps
  • DevOps инженер.

Программа обучения:

  • Введение
  • Требования
  • Определение DevSecOps, подход, будущая сфера применения
  • Настройка и подключение виртуальных машин
  • Необходимые предварительные установки на ВМ
  • Настройка всех учетных записей
  • Установка Jenkins
  • Многопользовательское змеиное приложение запускается с сервера приложений
  • Сопоставление доменного имени с ip-адресом сервера приложений
  • Создание агента Jenkins
  • Jenkins Pipeline Job
  • Безопасность исходного кода (безопасность github)
  • SAST и SCA — сканирование безопасности
  • DAST — безопасность
  • Безопасность контейнеров
  • Веб-скрипты для включения ci/cd при каждой регистрации
  • Уведомления
  • крайний сдвиг влево (безопасность на уровне IDE)
  • Викторина DevSecOps.

ТОП-рейтинг курсов DevSecOps и сравнение»

Ниже представлена таблица в виде ТОП-рейтинга курсов по DevSecOps, с помощью которой вы можете сравнить курсы по стоимости и выбрать, где учиться, а также найти альтернативу для какого-нибудь курса.

Курс Школа Цена Ссылка на курс
Внедрение и работа в DevSecOps OTUS 50 000 ₽
Профессия DevOps-инженер PRO Skillbox Рассрочка — 4 958 ₽ / мес
Специалист DevSecOps Академия АйТи 40 000 ₽
DevSecOps Инфосистемы Джет бесплатно
Certified DevSecOps Professional Practical DevSecOps разная стоимость
DevSecOps Udemy 899 рублей

Я не рекомендую скачивать курсы DevSecOps с торрентов, слитые (так называемый «слив» курса или «сливы») или участвовать в складчинах. Так как одно из самых важных в обучении — это обратная связь и помощь преподавателей.

Поделиться с друзьями
blank
Сергей Савин

Высшее образование в сфере «Образование и педагогика», работал учителем математики с 2006 по 2014 год. Эксперт по выбору профессии и курсов с 2018 года. Изучаю отзывы о курсах, онлайн-школах, колледжах и институтах, составляю ТОП-рейтинги.

Оцените автора
Савин.Инфо