За 3 месяца научитесь выявлять и устранять уязвимости и дефекты безопасности приложений
Введение в DevSecOps. Построите схему DevSecOps-пайплайна. Классифицируете угрозы на примерах приложений. Составите чек-лист OWASP Top 10 для тестового приложения.
Инструменты и технологии DevSecOps. Настроите SAST-анализ проекта через SonarQube или Snyk и SCA-сканирование зависимостей через Trivy. Интегрируете DAST-тестирования с OWASP ZAP в пайплайн CI/CD. Проанализируете результаты сканирования и исправите найденные уязвимости.
Безопасность Linux. Настроите политики AppArmor для ограничения прав приложений. Ограничите системные вызовы контейнера через Seccomp. Проверите и настроите базовые политики доступов к файлам и каталогам, а также к фильтрации сетевого трафика через iptables.
Безопасность Docker. Примените лучшие практики безопасности на этапах сборки образов и запуска контейнеров. Интегрируете инструменты для анализа безопасности в CI/CD‑процессы.
Безопасность Kubernetes. Развернёте кластер Kubernetes и настроите базовые политики безопасности и сетевые политики для ограничения трафика. Примените рекомендации CIS Benchmark на практике. Ограничите права приложений через настройки RBAC.
Безопасность инфраструктуры. Настроите Keycloak, развернёте Vault и интегрируете его в пайплайн CI/CD. Настроите в Harbor безопасное хранение Docker-образов с аутентификацией через Keycloak. Используете базовые правила безопасности при работе с Terraform и Ansible.
Тестирование безопасности. Развернёте тестовое приложение для проверки безопасности. Используете Nmap для сканирования портов и выявления уязвимых сервисов. Проведёте базовые тесты безопасности приложений с помощью Metasploit.
Мониторинг и реагирование на инциденты. Настроите мониторинг событий безопасности через SIEM. Сделаете корреляцию событий в реальном времени с помощью MITRE ATT&CK. Проанализируете инцидент на основе собранных логов, напишете Postmortem по итогам анализа инцидента.
Оценка угроз и рисков, фреймворки оценки уровня зрелости безопасности . Проведёте Threat Modeling для тестового приложения. Разработаете сценарии атак на основе построенной модели угроз, проведёте учёт и научитесь управлять уязвимостями с помощью DefectDojo. Оцените уровень зрелости безопасности проекта и разработаете стратегию его повышения на основе выявленных рисков и уязвимостей.
Итоговый проект. Оцените уровень DevSecOps-практик в приложении и предложите план улучшений. В результате создадите DevSecOps-пайплайн, построите модель угроз, проанализируете риски, проведёте оценку зрелости практик DevSecOps и сформируете набор рекомендаций.
структурированная подача материала, опытные наставники, команда сопровождения
не увидела
Инженер по тестированию: от новичка до автоматизатора
Проходила обучение "Инженер по тестированию: от новичка до автоматизатора". Это был невероятный опыт, который превзошел все мои ожидания. Материал в тренажере подавался структурировано и доступно, преподаватели в чате отвечали быстро и качественно на все вопросы, а благодаря вебинарам даже самые сложные темы становились понятными. Конструктивная критика ревьюеров и их советы помогли довести проектные и дипломную работы до совершенства. Отдельное спасибо команде сопровождения и кураторам. Они всегда были на связи, оперативно отвечали на все вопросы и помогали решать любые возникающие проблемы. Их поддержка чувствовалась на протяжении всего обучения. Было ощущение, что ты не один, что у тебя есть надежная команда, которая всегда готова прийти на помощь.
практика, проекты, поддержка кураторов, логичная программа, гибкий график, полезное комьюнити
долгое ревью проектов, особенно перед дедлайном, некоторые темы раскрыты поверхностно, бывают технические баги в тренажёрах
Курс "Аналитик данных" - крепкая рекомендация!
С сентября проходила курс "Аналитик данных" от Яндекс Практикума и мне он очень понравился! Обучение было построено логично и понятно, материал подается от простого к сложному, что помогает постепенно осваивать профессию. Конечно, тренажер практических заданий требует доработки. Порадовало, что было много практики: задания приближены к реальным рабочим задачам, а после каждого раздела есть проекты для портфолио. Особенно понравилась поддержка кураторов - они действительно заботливые, всегда готовы помочь, объяснить сложные моменты и мотивировать. Мне пришлось один раз перейти в другую когорту, тк не успевала сдать один проект, но переход прошел плавно и без проблем. Хотелось бы чтоб улучшили скорость ревью проектов - особенно финального. Понимаю, что у команды большая нагрузка, но ожидание проверки перед дедлайном было волнительным. Хотелось бы более предсказуемых сроков ревью.
отличная поддержка от наставника и куратора, интересная подача материала, очень круто, что есть командная работа
не всегда четко сформированное тз в домашке
"Менеджер проектов" от Яндекс Практикума
Огромное спасибо за этот курс! Программа построена очень грамотно: от основ до сложных кейсов, с акцентом на практику. Что особенно понравилось: Задания максимально приближены к реальным рабочим ситуациям, а работа с наставниками помогает сразу применять знания. Материал объясняется доступно, без воды, с хорошими примерами и интерактивами. Общение с сокурсниками и экспертами добавляет мотивации и помогает разобраться в сложных моментах. Можно совмещать с работой, а доступ к материалам остаётся и после окончания курса. После обучения чувствую себя увереннее в управлении проектами, понимаю процессы и инструменты. Курс дал не только знания, но и реальные навыки для старта в профессии. Однозначно рекомендую тем, кто хочет войти в IT или прокачаться в проектном менеджменте. Оценка: 5/5
