ПоискПоиск КаталогКаталог КабинетКабинет Меню
Синхронный курс

AppSec: разработка безопасного программного обеспечения.

Центр дополнительного профессионального образования "Пуск"

Купить курс
Старт по мере
набора группы
95 000руб/чел
72 ак. ч.
4 мес. длительность длит.

О чем этот курс

О чем этот курс

После курса вы:

  • поймете и научитесь настраивать CI/CD конвейер
  • научитесь использовать технологии тестирования безопасности приложений с открытым исходным
  • познакомитесь с технологиями Positive Technologies в части безопасной разработки
  • сможете оценить текущее положение вашей компании и поймете, как его улучшить.

Узнать больше про направления AppSec и востребованность специалистов можно в статье эксперта курса.

Для кого этот курс

Практикующим разработчикам

Курс позволит повысить свою роль в команде за счет освоения навыков безопасной разработки.

DevOps-инженерам и администраторам

Программа позволит научиться обеспечивать безопасность инфраструктуры.

Тестировщикам

На курсе вы сможете переквалифицироваться в специалистов по поиску уязвимостей.

Специалистам по информационной безопасности

Вы сможете расширить знания в области ландшафта киберугроз.

Перспективы заработка

AppSec engineer

0₽ Junior-специалист
0₽ Middle-специалист
0₽ Senior-специалист

После курса вы получите

Слушатель может получить сертификацию в области применения продуктов информационной безопасности компании Positive Technologies. Positive technologies – лидер рынка информационной безопасности в России, программное обеспечение компании применяется на более чем 2 900 организаций, в том числе, 80% компаний из рейтинга «Эксперт-400», а также значимыми компаниями государственного сектора и окологосударственными структурами. 

Что вы еще получите по итогам обучения

Всем успешно завершившим обучение будет выдан документ установленного образца, который повысит конкурентоспособность на рынке труда:

  • • Удостоверение о повышении квалификации
Образец

Вас будут обучать настоящие профессионалы

Газизова Светлана Григорьевна
Газизова Светлана Григорьевна

Директор по построению процессов DevSecOps. Несколько лет занимаюсь консалтингом и аудитом в области безопасной разработки. До этого поработала в роли системного аналитика и заместителя ИТ-директора. В информационную безопасность пришла через разработку, поэтому есть понимание, что, как и почему происходит. Опыт в технологиях и консалтинге больше 6 лет. Собирала команды, учила аппсеков, придумывала подходы. Люблю и стараюсь развиваться внутри безопасности приложений во всех направлениях. Опыт построения процессов безопасной разработки в компаниях разного размера: от Small Business до Large Enterprise. Есть понимание, как надо делать, а как - лучше не стоит. Вхожу в рабочие группы по разработке безопасного ПО.

Федулаев Алексей Владимирович
Федулаев Алексей Владимирович

DevSecOps Team Lead Wildberries. Руковожу группой автоматизации безопасной разработки. С 2011 года в информационной безопасности, занимался сертификацией различных продуктов в лаборатории, помогал создавать secure-by-design продукты в Лаборатории Касперского, несколько раз с нуля выстраивал безопасную разработку. Сейчас развиваю данное направление в Wildberries. Спикер многих крупнейших российских конференций, состою в программном комитете конференций DevOops и SafeCode.

Шеховцова Мария Евгеньевна
Шеховцова Мария Евгеньевна

Руководитель направления архитектуры и анализа безопасной разработки, Positive Technologies. Более 15 лет в ИТ и кибер безопасности: умею проектировать сети с нуля, обеспечивать в них безопасность, выстраивать работающие процессы ИБ и AppSec, знаю, что должно быть в идеальном pipeline, чего хочет регулятор и главное, знаю как работать с метриками, чтобы посчитать сколько все это стоит.

Кармазин Артем Олегович
Кармазин Артем Олегович

Старший консультант внедрения процессов безопасной разработки, Positive Technologies. В ИТ и информационной безопасности с 2016 года. Выстраивал процессы безопасности в государственном секторе, а также проводил аттестационные испытания государственных информационных систем, поэтому могу комплексно посмотреть на требования регулятора. Сейчас в Positive Technologies занимаюсь тем, что помогаю нашим клиентам внедрять и улучшать процессы безопасной разработки, проводить аналитику процессов и определять текущий уровень зрелости.

Пузанков Артем Михайлович
Пузанков Артем Михайлович

Руководитель группы внедрения практик безопасной разработки. В информационной безопасности с 2016 года, начинал с внедрений технических средств/архитектуры ИБ в интеграторе, после чего перешёл в безопасную разработку. Приложил руку к безопасности в двух Large Enterprise компаниях в разных ролях. В Positive Technology принимаю участие в разработке новых крутых инструментов, отвечаю за помощь при разработке и внедрении практик безопасности, обнаружении и предотвращении уязвимостей в приложениях и формировании процессов AppSec и DevSecOps. В общем, выводим Application Security на новый уровень.

Программа курса

Слушатели узнают:

  • принципы разработки безопасных приложений, методы безопасной разработки (актуальные стандарты и фреймворки безопасности);
  • про методологии и стандарты OWASP, MITRE, NIST и др.;
  • как работать с угрозами и рисками в процессе безопасной разработки (методологии моделирования угроз, актуальные российские и зарубежные подходы к управлению рисками);
  • принципы обеспечения безопасности контейнерной инфраструктуры;
  • принципы обеспечения облачной безопасности;
  • подходы и технологии DevSecOps;
  • про программы bug-bounty.

Лекции будут проходить в онлайн формате. Практические занятия будут проходить в будние дни после 18:00. Все занятия вы можете посмотреть в записи.

Для полного освоения навыков и знаний в рамках курса, слушателям рекомендуется предварительно ознакомиться со следующими аспектами:

  • знание ОС Linux и Windows на уровне администратора;
  • сетевые технологии (TCP/IP);
  • основы DevOps;
  • принципы работы современных веб-приложений (HTTP, HTTPS, SOAP, AJAX, JSON, REST);
  • основы программирования на одном из языков на уровне Junior: Python/С/С++/Java/JS/SQL;
  • практические основы кибербезопасности (OWASP, CVE).
Введение в безопасную разработку Cовременное устройство SSDLC, этапы SSDLC, участников и роли SSDLC.
Основные подходы и методологии безопасной разработки Требования регуляторов РФ и индустриальные стандарты. OWASP SAMM, BSIMM и другие фреймворки и модели зрелости.
Моделирование угроз, управление рисками и threat hunting OWASP TOP10, MITRE, NIST, SALSA и др. Уязвимости Supply Chain.
Основные практики и принципы безопасной разработки Безопасное проектирование. Процесс безопасной разработки. Инструменты тестирования безопасности overview. Экономика безопасной разработки
Роли и участники процесса безопасной разработки
Стратегия развития безопасной разработки в компании и дорожная карта развития С нуля до PRO - как выстроить AppSec в компании? Популярные ошибки и проблемы. Оценка текущего состояния и уровня зрелости процессов безопасной разработки.
Знакомство с безопасным циклом разработки ПО
Security на этапах сбора требованиях и проектирования инфраструктуры Бизнес-аналитика. Требования регуляторов и ИБ. Требования к эксплуатации и разработке. Сборка и развертывание. Мониторинг. Управление секретами. Бэкапирование данных. Доступность. Ролевые модели доступа к окружениям. Логированние.
Security на этапе написания кода. Статические анализаторы кода, линтеры, инструменты code style
Инструменты анализа сторонних компонентов ПО (Software Composition Analysis). SBOM
Динамический анализ уязвимостей и фаззинг тестирование
Реализация Pipeline Этапы сборки. Настраивание тригеров сборки. Последовательные и параллельные проверки.
Предрелизные проверки безопасности
Безопасность в продакшене Мониторинг и харденинг. Использование WAF.
Программы BugBounty
Security Culture: Выстраивание культуры безопасности в Компании. Вклад безопасности и разработки в культуру AppSec. Практические советы, как выстроить AppSec комьюнити внутри компании.
Security Education Кого и чему нужно учить? Как выстроить процессы обучение для разработчиков и специалистов AppSec? Дополнительные лайфхаки.
Окружение приложений
Безопасность на уровне ОС
Введение в Docker контейнеры Отличия контейнеризации от виртуализации. Запустим первое приложение. Из чего состоит Docker. Как устроен Dockerfile. Создадим свой контейнер. Менеджмент контейнеров. Как устроена изоляция. Linux namespaces. Apparmor. Seccomp. Container capabilities. Слои. Stateful/StateLess. Volumes и mounts. Сети. Docker-compose.
Безопасность Docker Capabilities. Apparmor. Seccomp profile. Docker deamon. Podman. Kata containers. Gvisor и т.д
Побеги из Docker
Введение в Kubernetes
Безопасность в Kubernetes Защита data storage. Защита API-server. Секреты + Vault operator. Vault sidecar. RBAC. NetworkPolicy. PodSecurityPolicy. PodSecurityContext. Admission Controllers.
Обеспечение безопасности облачных сред
Управление жизненным циклом контейнера и атаки на CICD

Чему вы научитесь на курсе

  • научитесь анализировать программный код на наличие уязвимостей
  • поймете и научитесь настраивать CI/CD конвейер
  • научитесь использовать SAST- и DAST-решения с открытым исходным кодом
  • научитесь настраивать и использовать продукты PT Application Inspector, PT Black Box, PT Container Security, PT Application Firewall

Инструменты и навыки

OWASP
DevSecOps
Application Security
Безопасная разработка

Оплатить курс или получить
бесплатную консультацию

Оставьте ваш запрос и мы свяжемся с вами

AppSec: разработка безопасного программного обеспечения.

95 000₽/чел.
  • - Оплата по оферте или после заключения договора
  • - Гарантии качества вашего обучения

Часто задаваемые вопросы

Курсы подходят как для сотрудников компаний, так и для частных лиц. Важно знать, что программы предназначены для тех, кто имеет среднее или высшее образование и желает повысить свою квалификацию или сменить профессию.

Онлайн обучение – синхронные и предзаписанные курсы - проходит на нашей удобной платформе. Офлайн (очное) обучение может проходить на Физтехе или на территории заказчика.

Вам нужно пройти простую регистрацию. Регистрация позволит отслеживать статус заявки и осуществит быстрый переход к процессу оплаты и обучению на курсе.

Период обучения указан в карточке каждого курса. При прохождении асинхронных курсов с выдачей сертификата вы сможете учиться в удобном для вас темпе.

Вы можете оплатить курс непосредственно на нашем сайте, используя карты любых платежных систем. Также вы можете заключить с нами договор и произвести оплату по выставленному счету с помощью банковского перевода.