За 3 месяца научитесь выявлять и устранять уязвимости и дефекты безопасности приложений
Введение в DevSecOps. Построите схему DevSecOps-пайплайна. Классифицируете угрозы на примерах приложений. Составите чек-лист OWASP Top 10 для тестового приложения.
Инструменты и технологии DevSecOps. Настроите SAST-анализ проекта через SonarQube или Snyk и SCA-сканирование зависимостей через Trivy. Интегрируете DAST-тестирования с OWASP ZAP в пайплайн CI/CD. Проанализируете результаты сканирования и исправите найденные уязвимости.
Безопасность Linux. Настроите политики AppArmor для ограничения прав приложений. Ограничите системные вызовы контейнера через Seccomp. Проверите и настроите базовые политики доступов к файлам и каталогам, а также к фильтрации сетевого трафика через iptables.
Безопасность Docker. Примените лучшие практики безопасности на этапах сборки образов и запуска контейнеров. Интегрируете инструменты для анализа безопасности в CI/CD‑процессы.
Безопасность Kubernetes. Развернёте кластер Kubernetes и настроите базовые политики безопасности и сетевые политики для ограничения трафика. Примените рекомендации CIS Benchmark на практике. Ограничите права приложений через настройки RBAC.
Безопасность инфраструктуры. Настроите Keycloak, развернёте Vault и интегрируете его в пайплайн CI/CD. Настроите в Harbor безопасное хранение Docker-образов с аутентификацией через Keycloak. Используете базовые правила безопасности при работе с Terraform и Ansible.
Тестирование безопасности. Развернёте тестовое приложение для проверки безопасности. Используете Nmap для сканирования портов и выявления уязвимых сервисов. Проведёте базовые тесты безопасности приложений с помощью Metasploit.
Мониторинг и реагирование на инциденты. Настроите мониторинг событий безопасности через SIEM. Сделаете корреляцию событий в реальном времени с помощью MITRE ATT&CK. Проанализируете инцидент на основе собранных логов, напишете Postmortem по итогам анализа инцидента.
Оценка угроз и рисков, фреймворки оценки уровня зрелости безопасности . Проведёте Threat Modeling для тестового приложения. Разработаете сценарии атак на основе построенной модели угроз, проведёте учёт и научитесь управлять уязвимостями с помощью DefectDojo. Оцените уровень зрелости безопасности проекта и разработаете стратегию его повышения на основе выявленных рисков и уязвимостей.
Итоговый проект. Оцените уровень DevSecOps-практик в приложении и предложите план улучшений. В результате создадите DevSecOps-пайплайн, построите модель угроз, проанализируете риски, проведёте оценку зрелости практик DevSecOps и сформируете набор рекомендаций.
профессиональные преподаватели, подача материала, актуальность и сама платформа
нет
Практикум зажег мое сердечко
Когда я начала обучение в Яндекс Практикуме зимой прошлого года, я даже не думала, насколько сильно этот курс изменит мое представление о дизайне и моей профессии в целом. Я давно мечтала заниматься веб-дизайном — ещё со школы, с девятого класса, когда впервые открыла для себя, что можно не просто рисовать, а создавать что-то, чем люди пользуются каждый день. Я всегда была творческим человеком, и для меня дизайн — это способ выражать себя и одновременно приносить пользу другим. Обучение оказалось насыщенным, местами сложным, но именно тем, что мне было нужно. На курсе я научилась мыслить как дизайнер, видеть не просто красивую картинку, а смысл в каждой кнопке, каждом отступе и каждом цвете. Я освоила Figma, научилась делать прототипы и целые интерфейсы, проводить исследования, продумывать пользовательский путь, работать в команде. Самое главное — я научилась не бояться начинать с нуля и искать решения, когда кажется, что всё уже перепробовано. Особенно ценно было общение с наставниками и кураторами — они помогали, поддерживали, давали реальные советы из практики. Это не просто онлайн-курс, а целый путь: от первого модуля до защиты диплома, когда ты уже уверенно называешь себя дизайнером. Теперь, после защиты диплома, я официально выпускница! И слова Я – дизайнер звучат для меня по-новому. Я чувствую, что выбрала правильную профессию — ту, в которой могу творить, расти, вдохновляться и вдохновлять других. Я горю дизайном, и теперь хочу развиваться дальше, набираться опыта, работать над настоящими проектами и делать продукты, которыми будут пользоваться люди. Спасибо Практикуму за то, что показал, что мечта может быть реальностью, если каждый день делать шаг вперед.
хорошо структурированная информация, помощь наставников, гибкие
опечатки и тех ошибки, хотелось бы более подробного ревью проектов
Курс: Аналитик SOC
Курс на SOC понравился, много структурированной информации как я и хотел + хорошие проекты, база знаний у меня была лишь университетская, ещё не работал по направлению и схожим с ним и чувствовал себя вполне комфортно при изучении. Бывали опечатки и ошибки в тексте и тестовых заданиях, также отлетела в какой то момент одна из виртуальных машин и работать с ней надо было через костыли. Также иногда информация необходимая для выполнения задания, была лишь в следующем уроке.
структурированная программа, много практики и проектов, хорошая подача материала, тренажёр и полезные ревью
высокая нагрузка и жёсткие дедлайны, местами устаревшая теория и долгие проверки проектов
Было здорово)
Проходил курс Инженер по тестированию в Яндекс Практикуме, выбирал его осознанно именно как полноценную переподготовку под QA. Программа построена спринтами: в каждом блоке теория в тренажёре, практические задания и проект, который максимально приближен к задачам на реальной работе. Очень понравился формат подачи материала - много интерактива, ролевые сценарии, где выступаешь стажёром в продуктовой команде, плюс тренажёр, в котором постоянно повторяется и закрепляется пройденное. По ходу обучения разбирали реальные или максимально похожие на реальные продукты Яндекса, работали с требованиями, багтрекингом, SQL, API, Charles, Postman и другими инструментами, что сильно помогает почувствовать рабочий процесс, а не просто выучить теорию. Нагрузка ощутимая: чтобы стабильно успевать сдавать проекты в дедлайны, приходилось уделять учебе несколько часов в будни и больше времени на выходных. Без самоорганизации и готовности самостоятельно гуглить и разбираться в проблемах пройти курс будет тяжело - это точно не формат, где тебя всё время ведут за руку. Ревью проектов в целом полезные и по делу, помогают подтянуть качество работ, но иногда проверки затягиваются, а правки нужно внести в жёсткие сроки, что добавляет стресса. В учебных материалах изредка встречаются неточности или устаревшие моменты, а инструкции по настройке софта не всегда учитывают все возможные ошибки - иногда приходится искать решения самостоятельно. По итогам курса сформировалось цельное понимание процесса тестирования: от анализа требований и составления тестовой документации до заведения багов и работы с API. Дипломный проект ощущается как почти реальная задача из рабочего проекта и отлично подходит в портфолио для собеседований на младшего тестировщика. Сильной стороной Практикума считаю структуру программы, практическую направленность и то, что после окончания остаётся понятный фундамент, на который можно дальше наращивать автоматизацию и другие навыки. При этом важно понимать, что курс не гарантирует трудоустройство: он даёт базу и проекты, а поиск работы, подготовка к собеседованиям и прокачка доп. скиллов ложатся уже на самого выпускника. В моём случае курс окупился именно знаниями и практикой - к концу обучения стало гораздо проще читать вакансии и решать типовые задачи на собеседованиях на позицию джуна в тестировании.»
