За 3 месяца научитесь выявлять и устранять уязвимости и дефекты безопасности приложений
Введение в DevSecOps. Построите схему DevSecOps-пайплайна. Классифицируете угрозы на примерах приложений. Составите чек-лист OWASP Top 10 для тестового приложения.
Инструменты и технологии DevSecOps. Настроите SAST-анализ проекта через SonarQube или Snyk и SCA-сканирование зависимостей через Trivy. Интегрируете DAST-тестирования с OWASP ZAP в пайплайн CI/CD. Проанализируете результаты сканирования и исправите найденные уязвимости.
Безопасность Linux. Настроите политики AppArmor для ограничения прав приложений. Ограничите системные вызовы контейнера через Seccomp. Проверите и настроите базовые политики доступов к файлам и каталогам, а также к фильтрации сетевого трафика через iptables.
Безопасность Docker. Примените лучшие практики безопасности на этапах сборки образов и запуска контейнеров. Интегрируете инструменты для анализа безопасности в CI/CD‑процессы.
Безопасность Kubernetes. Развернёте кластер Kubernetes и настроите базовые политики безопасности и сетевые политики для ограничения трафика. Примените рекомендации CIS Benchmark на практике. Ограничите права приложений через настройки RBAC.
Безопасность инфраструктуры. Настроите Keycloak, развернёте Vault и интегрируете его в пайплайн CI/CD. Настроите в Harbor безопасное хранение Docker-образов с аутентификацией через Keycloak. Используете базовые правила безопасности при работе с Terraform и Ansible.
Тестирование безопасности. Развернёте тестовое приложение для проверки безопасности. Используете Nmap для сканирования портов и выявления уязвимых сервисов. Проведёте базовые тесты безопасности приложений с помощью Metasploit.
Мониторинг и реагирование на инциденты. Настроите мониторинг событий безопасности через SIEM. Сделаете корреляцию событий в реальном времени с помощью MITRE ATT&CK. Проанализируете инцидент на основе собранных логов, напишете Postmortem по итогам анализа инцидента.
Оценка угроз и рисков, фреймворки оценки уровня зрелости безопасности . Проведёте Threat Modeling для тестового приложения. Разработаете сценарии атак на основе построенной модели угроз, проведёте учёт и научитесь управлять уязвимостями с помощью DefectDojo. Оцените уровень зрелости безопасности проекта и разработаете стратегию его повышения на основе выявленных рисков и уязвимостей.
Итоговый проект. Оцените уровень DevSecOps-практик в приложении и предложите план улучшений. В результате создадите DevSecOps-пайплайн, построите модель угроз, проанализируете риски, проведёте оценку зрелости практик DevSecOps и сформируете набор рекомендаций.
получение диплома по окончании курса, возможность оплаты в рассрочку, много дополнительного контента, который пригодится в будущем, отличная работа команды практикума, понятный материал
их нет
Отличные курсы
Прошла курс Инженер по тестированию: от новичка до автоматизатора. Получила много нужных знаний и смогла сменить свою профессию. Яндекс практикум лучшая платформа для обучения, всем советую
хорошая теоретическая база, очень много полезных материалов, охват большого количества востребованных технологий, хорошее комьюнити, постоянное развитие и обновления программ
серьезных минусов выделить не могу, в основном все хорошо прошло, поддержка выручает
Курс "Фронтенд разработчик" от ЯП
Прошел курс "Фронтенд разработчик", весь 2025 год совмещал работу и обучение в практикуме.
Пройти его реально, можно даже не пользоваться переходами в когортах, но иногда они прям выручают (очень важно что они есть, я свои использовал 2 из 3 штук), чтоб успешно пройти курс нужно задвинуть лень на второй план и шпарить по полной!
Автоматизатор тестирования
Это курс отличная инвестиция в карьерный апгрейд, если вы уже в профессии. Он не научит вас что тестировать (это вы и так знаете), но он научит как делать это эффективно, современно и профессионально с точки зрения инженерии. Рекомендую, если: Вы хотите перейти от написания скриптов к построению поддерживаемой автоматизации. Вам не хватает системы в знаниях об инструментах (от Selenium до Docker). Вы готовы к интенсивной 4-6 месячной работе после своего основного рабочего дня. Не ждите, если: Вы думаете, что это будет «лёгкая прокачка». Это серьёзная нагрузка. Но результат - уверенное владение стеком, проект в портфолио и реальные кейсы для обсуждения на performance-ревью - того определённо стоит. Теперь я не просто «тестировщик, который немного умеет в автоматизацию». Я инженер по автоматизации тестирования, и этот курс был ключевым шагом в этой трансформации.
