التنفيذ والعمل في DevSecOps - دورة 88000 فرك. من أوتوس، التدريب 5 أشهر، التاريخ 30 أكتوبر 2023.

Miscellanea   /   by admin   /   November 30, 2023

click fraud protection

نواجه اليوم باستمرار هجمات القراصنة والاحتيال عبر البريد الإلكتروني وتسريب البيانات. أصبح العمل عبر الإنترنت من متطلبات العمل وواقعًا جديدًا. أصبح تطوير التعليمات البرمجية والحفاظ عليها وحماية البنية التحتية مع أخذ الأمان في الاعتبار مطلبًا أساسيًا لمتخصصي تكنولوجيا المعلومات. هؤلاء المتخصصون هم الأعلى أجرًا والطلب بين كبار أصحاب العمل: Microsoft، Google، Amazon Web Services، Mail. مجموعة رو، ياندكس، سبيربنك وغيرها.

لمن هذه الدورة؟
يتطلب تطوير البنية التحتية ومجموعات التطبيقات في التدفق المستمر لتغييرات Agile DevOps عملاً مستمرًا مع أدوات أمن المعلومات. ولم يعد النموذج الأمني ​​التقليدي الذي يركز على المحيط يعمل. في DevOps، تقع مسؤولية الأمان على عاتق جميع المشاركين في عملية Dev[Sec]Ops.

الدورة مخصصة للمتخصصين في الملفات الشخصية التالية:
- المطورين
- مهندسون وإداريون DevOps
- المختبرين
- المهندسين المعماريين
- متخصصون في أمن المعلومات
- المتخصصون الذين يرغبون في تعلم كيفية تطوير وصيانة التطبيقات والبنية التحتية بدرجة عالية من الحماية من الهجمات الخارجية والداخلية في عملية DevSecOps الآلية.

الغرض من الدورة

instagram viewer

لا يمكن تنفيذ DevSecOps بنجاح إلا من خلال اتباع نهج متكامل للأدوات وعمليات الأعمال والأشخاص (أدوار المشاركين). توفر الدورة المعرفة حول العناصر الثلاثة وقد تم تطويرها في الأصل لدعم سلسلة أدوات CI/CD ومشروع تحويل العمال تتم معالجة DevOps إلى ممارسة DevSecOps الكاملة باستخدام أحدث أدوات الأمان الآلية.

ستغطي الدورة ميزات الأمان لأنواع التطبيقات التالية:
- التطبيقات المتجانسة التقليدية ذات الطبقة 2/3
- تطبيقات Kubernetes - في DC الخاصة بك، Public Cloud (EKS، AKS، GKE)
- تطبيقات الجوال iOS وAndroid
- التطبيقات ذات الواجهة الخلفية لـ REST API

سيتم النظر في تكامل واستخدام أدوات أمن المعلومات التجارية والمفتوحة المصدر الأكثر شيوعًا.
تركز الدورة على ممارسات Scrum/Kanban، ولكن يمكن أيضًا استخدام الأساليب والأدوات في نموذج إدارة مشروع Waterfall التقليدي.

المعرفة والمهارات التي سوف تكتسبها
- الانتقال من نموذج "حماية المحيط" الأمني ​​إلى نموذج "حماية جميع الطبقات".
- القاموس والمصطلحات والكائنات المستخدمة في أدوات أمن المعلومات - CWE، CVE، Exploit، إلخ.
- المعايير الأساسية والأساليب ومصادر المعلومات - OWASP، NIST، PCI DSS، CIS، إلخ.

سوف يتعلمون أيضًا كيفية الاندماج في CI/CD واستخدام أدوات أمن المعلومات من الفئات التالية:
- تحليل الهجمات المحتملة (نمذجة التهديدات)
- التحليل الثابت للكود المصدري للأمن (SAST)
- التحليل الديناميكي لأمن التطبيقات (IAST/DAST)
- تحليل استخدام برامج الطرف الثالث والبرامج مفتوحة المصدر (SCA)
- اختبار التكوين للتأكد من توافقه مع معايير الأمان (CIS، NIST، إلخ.)
- تصلب التكوين، الترقيع
- تطبيق إدارة الأسرار والشهادات
- تطبيق الحماية لـ REST-API داخل تطبيقات الخدمات الصغيرة وعلى الواجهة الخلفية
- تطبيق جدار حماية تطبيقات الويب (WAF)
- جدران الحماية من الجيل التالي (NGFW)
- اختبار الاختراق اليدوي والآلي (Penetration Testing)
- المراقبة الأمنية والاستجابة للأحداث في مجال أمن المعلومات (SIEM)
- تحليل الطب الشرعي

بالإضافة إلى ذلك، سيتلقى قادة الفرق توصيات بشأن ممارسات تنفيذ DevSecOps بنجاح:
- كيفية إعداد وإجراء مناقصة مصغرة وإثبات المفهوم لاختيار الأدوات بنجاح
- كيفية تغيير الأدوار والهيكل ومجالات مسؤولية فرق التطوير والدعم وأمن المعلومات
- كيفية تكييف العمليات التجارية لإدارة المنتجات والتطوير والصيانة وأمن المعلومات

فيليب إجناتنكو
الدورات

2

دورة

على مدار 12 عامًا من العمل في مجال تكنولوجيا المعلومات، تمكنت من العمل كمطور ومختبر ومطورين ومهندسين في شركات مثل NSPK (مطور بطاقة MIR) وKaspersky Lab وSibur وRostelecom. في هذه اللحظة أنا...

على مدار 12 عامًا من العمل في مجال تكنولوجيا المعلومات، تمكنت من العمل كمطور ومختبر ومطورين ومهندسين في شركات مثل NSPK (مطور بطاقة MIR) وKaspersky Lab وSibur وRostelecom. حاليا أنا رئيس التطوير الآمن في شركة Digital Energy (مجموعة شركات Rostelecom).تعتمد خبرتي العملية على معرفة اللغات C#، F#، dotnet core، بايثون، وتطوير وتكامل أدوات ممارسة DevOps وDevSecOps المختلفة (SAST/SCA، DAST/IAST، فحص تطبيقات الويب، تحليل البنية التحتية، المسح عبر الهاتف المحمول التطبيقات). لدي خبرة واسعة في نشر ودعم مجموعات k8s، والعمل مع موفري الخدمات السحابية. أقوم بإجراء عمليات تدقيق أمنية ونشر شبكات الخدمة. أنا مؤلف دوراتي الخاصة حول البرمجة والاختبار وقواعد البيانات العلائقية وغير العلائقية، والعمل مع موفري الخدمات السحابية وإدارة الخوادم المعدنية. متحدث في المؤتمرات الدولية.

انطون لوكاشوف
الدورات

1

حسنًا

محلل أمن المعلومات، Sovcombank

خبرة في مجال أمن المعلومات منذ 2018 التخصص: - التحكم في أمن البنية التحتية - بناء عمليات إدارة الثغرات الأمنية لمختلف المنصات (الخدمات الصغيرة و DevOps، نظام التشغيل المضيف، نظام تشغيل معدات الشبكة، الهاتف المحمول، قاعدة البيانات، المحاكاة الافتراضية) - إدارة سياسات ومتطلبات أمن المعلومات ضمن البنية التحتية والمشاريع تطوير. مدرس

دانييل نوسينكو
الدورات

1

حسنًا

تم تدقيق الشبكات التجارية منذ عام 2017. شارك في تطوير نموذج أمني للبنك الأوكراني المشترك بين الولايات "AT Oschadbank" الميزة الرئيسية للاختبار هي pentest باستخدام طريقة "الصندوق الأسود". العمل مع بايثون وبوش منذ عام 2016...

تم تدقيق الشبكات التجارية منذ عام 2017. شارك في تطوير نموذج أمني لبنك أوكرانيا المشترك بين الولايات "AT Oschadbank"الميزة الرئيسية للاختبار هي pentest باستخدام طريقة "الصندوق الأسود"العمل مع python and Bush منذ عام 2016خبرة في العمل مع أنظمة Unix وخاصة التوزيعات المبنية على ديبيان. مدرس

قاعدة المعرفة لأمن المعلومات
-الموضوع 1. القاموس والمصطلحات والمعايير والأساليب ومصادر المعلومات المستخدمة في أدوات أمن المعلومات
-الموضوع 2. المبادئ الأساسية لضمان أمن المعلومات لمكدس التطبيقات والبنية التحتية

نظرة عامة على ثغرات OWASP
-الموضوع 3. تحليل أهم 10 ثغرات ويب في OWASP
-الموضوع 4. تحليل أهم 10 نقاط ضعف في OWASP - REST API

ميزات تطوير التعليمات البرمجية الآمنة واستخدام الأطر
-الموضوع 5. التطوير الآمن في HTML/CSS وPHP
-الموضوع 6. التطوير الآمن ونقاط الضعف في أكواد البرامج
-الموضوع السابع: التطوير الآمن في Java/Node.js
-الموضوع الثامن: التطوير الآمن في .NET
-الموضوع التاسع: التطوير الآمن في روبي

تطوير حاويات آمنة وتطبيقات بدون خادم
-الموضوع 10. ضمان الأمان في نظام التشغيل Linux
-الموضوع 11. ضمان الأمان في حاويات Docker
-الموضوع 12. تأمين Kubernetes

التكامل والعمل مع أدوات أمن المعلومات داخل DevSecOps
-الموضوع 13. ضمان أمان سلسلة أدوات CI/CD وعملية DevOps
-الموضوع 14. مراجعة أدوات DevSecOps
-الموضوع 15. التحليل الأمني ​​للكود المصدري (SAST/DAST/IAST)
-الموضوع السادس عشر: استخدام الحماية لـ REST-API داخل تطبيقات الخدمات الصغيرة وفي الواجهة الخلفية.
-الموضوع 17.استخدام جدار حماية تطبيقات الويب (WAF) لحماية الويب وREST API وحماية الروبوتات.
-الموضوع الثامن عشر: أدوات أمان محيط الشبكة الحديثة (NGFW/Sandbox)
-الموضوع التاسع عشر: نمذجة التهديدات واختبار الاختراق
-الموضوع 20. المراقبة الأمنية والاستجابة للأحداث في أمن المعلومات (SIEM/SOAR)
-الموضوع 21. خطة المشروع ومنهجية تحويل المنظمة إلى DevSecOps.

وحدة المشروع
-الموضوع 22. اختيار الموضوع
-الموضوع 23. المشاورات والمناقشات حول عمل المشروع
-الموضوع 24. حماية المشاريع

الكلمات سحابة
تصنيف
0
عدد المشاهدات
0
تعليقات
YOU MIGHT ALSO LIKE
Instagram story viewer