За 3 месяца научитесь выявлять и устранять уязвимости и дефекты безопасности приложений
Введение в DevSecOps. Построите схему DevSecOps-пайплайна. Классифицируете угрозы на примерах приложений. Составите чек-лист OWASP Top 10 для тестового приложения.
Инструменты и технологии DevSecOps. Настроите SAST-анализ проекта через SonarQube или Snyk и SCA-сканирование зависимостей через Trivy. Интегрируете DAST-тестирования с OWASP ZAP в пайплайн CI/CD. Проанализируете результаты сканирования и исправите найденные уязвимости.
Безопасность Linux. Настроите политики AppArmor для ограничения прав приложений. Ограничите системные вызовы контейнера через Seccomp. Проверите и настроите базовые политики доступов к файлам и каталогам, а также к фильтрации сетевого трафика через iptables.
Безопасность Docker. Примените лучшие практики безопасности на этапах сборки образов и запуска контейнеров. Интегрируете инструменты для анализа безопасности в CI/CD‑процессы.
Безопасность Kubernetes. Развернёте кластер Kubernetes и настроите базовые политики безопасности и сетевые политики для ограничения трафика. Примените рекомендации CIS Benchmark на практике. Ограничите права приложений через настройки RBAC.
Безопасность инфраструктуры. Настроите Keycloak, развернёте Vault и интегрируете его в пайплайн CI/CD. Настроите в Harbor безопасное хранение Docker-образов с аутентификацией через Keycloak. Используете базовые правила безопасности при работе с Terraform и Ansible.
Тестирование безопасности. Развернёте тестовое приложение для проверки безопасности. Используете Nmap для сканирования портов и выявления уязвимых сервисов. Проведёте базовые тесты безопасности приложений с помощью Metasploit.
Мониторинг и реагирование на инциденты. Настроите мониторинг событий безопасности через SIEM. Сделаете корреляцию событий в реальном времени с помощью MITRE ATT&CK. Проанализируете инцидент на основе собранных логов, напишете Postmortem по итогам анализа инцидента.
Оценка угроз и рисков, фреймворки оценки уровня зрелости безопасности . Проведёте Threat Modeling для тестового приложения. Разработаете сценарии атак на основе построенной модели угроз, проведёте учёт и научитесь управлять уязвимостями с помощью DefectDojo. Оцените уровень зрелости безопасности проекта и разработаете стратегию его повышения на основе выявленных рисков и уязвимостей.
Итоговый проект. Оцените уровень DevSecOps-практик в приложении и предложите план улучшений. В результате создадите DevSecOps-пайплайн, построите модель угроз, проанализируете риски, проведёте оценку зрелости практик DevSecOps и сформируете набор рекомендаций.
практика, проекты, поддержка кураторов, логичная программа, гибкий график, полезное комьюнити
долгое ревью проектов, особенно перед дедлайном, некоторые темы раскрыты поверхностно, бывают технические баги в тренажёрах
Курс "Аналитик данных" - крепкая рекомендация!
С сентября проходила курс "Аналитик данных" от Яндекс Практикума и мне он очень понравился! Обучение было построено логично и понятно, материал подается от простого к сложному, что помогает постепенно осваивать профессию. Конечно, тренажер практических заданий требует доработки. Порадовало, что было много практики: задания приближены к реальным рабочим задачам, а после каждого раздела есть проекты для портфолио. Особенно понравилась поддержка кураторов - они действительно заботливые, всегда готовы помочь, объяснить сложные моменты и мотивировать. Мне пришлось один раз перейти в другую когорту, тк не успевала сдать один проект, но переход прошел плавно и без проблем. Хотелось бы чтоб улучшили скорость ревью проектов - особенно финального. Понимаю, что у команды большая нагрузка, но ожидание проверки перед дедлайном было волнительным. Хотелось бы более предсказуемых сроков ревью.
отличная поддержка от наставника и куратора, интересная подача материала, очень круто, что есть командная работа
не всегда четко сформированное тз в домашке
"Менеджер проектов" от Яндекс Практикума
Огромное спасибо за этот курс! Программа построена очень грамотно: от основ до сложных кейсов, с акцентом на практику. Что особенно понравилось: Задания максимально приближены к реальным рабочим ситуациям, а работа с наставниками помогает сразу применять знания. Материал объясняется доступно, без воды, с хорошими примерами и интерактивами. Общение с сокурсниками и экспертами добавляет мотивации и помогает разобраться в сложных моментах. Можно совмещать с работой, а доступ к материалам остаётся и после окончания курса. После обучения чувствую себя увереннее в управлении проектами, понимаю процессы и инструменты. Курс дал не только знания, но и реальные навыки для старта в профессии. Однозначно рекомендую тем, кто хочет войти в IT или прокачаться в проектном менеджменте. Оценка: 5/5
курс Менеджер Проектов (я брал расширенный - с soft skills) содержит не только базовые знания, но и практику - работа над 2 проектами в команде очень хорошо помогает закрепить теорию
можно было бы подинамичнее, но это не всем подходит, а вот от реальных бизнес-кейсов, мне кажется, всем бы было только больше пользы
Полезные знания
Всё понравилось - полезные знания, чёткая структура, отличная работа кураторов, мне повезло попасть в замечательную команду, с которой мы работали над 2 кейсами. Можно было бы добавить динамики и кейсы из реальной бизнес-практики (как самого Яндекса, так и многочисленных партнёров). Ну и если бы ещё привлечь компании, которые давали бы свои бизнес кейсы для выпускников в качестве заданий для финального экзамена и одновременно тестового задания для отбора на вакантные позиции проджектов, это было бы совсем здорово!
