За 3 месяца научитесь выявлять и устранять уязвимости и дефекты безопасности приложений
Введение в DevSecOps. Построите схему DevSecOps-пайплайна. Классифицируете угрозы на примерах приложений. Составите чек-лист OWASP Top 10 для тестового приложения.
Инструменты и технологии DevSecOps. Настроите SAST-анализ проекта через SonarQube или Snyk и SCA-сканирование зависимостей через Trivy. Интегрируете DAST-тестирования с OWASP ZAP в пайплайн CI/CD. Проанализируете результаты сканирования и исправите найденные уязвимости.
Безопасность Linux. Настроите политики AppArmor для ограничения прав приложений. Ограничите системные вызовы контейнера через Seccomp. Проверите и настроите базовые политики доступов к файлам и каталогам, а также к фильтрации сетевого трафика через iptables.
Безопасность Docker. Примените лучшие практики безопасности на этапах сборки образов и запуска контейнеров. Интегрируете инструменты для анализа безопасности в CI/CD‑процессы.
Безопасность Kubernetes. Развернёте кластер Kubernetes и настроите базовые политики безопасности и сетевые политики для ограничения трафика. Примените рекомендации CIS Benchmark на практике. Ограничите права приложений через настройки RBAC.
Безопасность инфраструктуры. Настроите Keycloak, развернёте Vault и интегрируете его в пайплайн CI/CD. Настроите в Harbor безопасное хранение Docker-образов с аутентификацией через Keycloak. Используете базовые правила безопасности при работе с Terraform и Ansible.
Тестирование безопасности. Развернёте тестовое приложение для проверки безопасности. Используете Nmap для сканирования портов и выявления уязвимых сервисов. Проведёте базовые тесты безопасности приложений с помощью Metasploit.
Мониторинг и реагирование на инциденты. Настроите мониторинг событий безопасности через SIEM. Сделаете корреляцию событий в реальном времени с помощью MITRE ATT&CK. Проанализируете инцидент на основе собранных логов, напишете Postmortem по итогам анализа инцидента.
Оценка угроз и рисков, фреймворки оценки уровня зрелости безопасности . Проведёте Threat Modeling для тестового приложения. Разработаете сценарии атак на основе построенной модели угроз, проведёте учёт и научитесь управлять уязвимостями с помощью DefectDojo. Оцените уровень зрелости безопасности проекта и разработаете стратегию его повышения на основе выявленных рисков и уязвимостей.
Итоговый проект. Оцените уровень DevSecOps-практик в приложении и предложите план улучшений. В результате создадите DevSecOps-пайплайн, построите модель угроз, проанализируете риски, проведёте оценку зрелости практик DevSecOps и сформируете набор рекомендаций.
отличная поддержка от наставника и куратора, интересная подача материала, очень круто, что есть командная работа
не всегда четко сформированное тз в домашке
"Менеджер проектов" от Яндекс Практикума
Огромное спасибо за этот курс! Программа построена очень грамотно: от основ до сложных кейсов, с акцентом на практику. Что особенно понравилось: Задания максимально приближены к реальным рабочим ситуациям, а работа с наставниками помогает сразу применять знания. Материал объясняется доступно, без воды, с хорошими примерами и интерактивами. Общение с сокурсниками и экспертами добавляет мотивации и помогает разобраться в сложных моментах. Можно совмещать с работой, а доступ к материалам остаётся и после окончания курса. После обучения чувствую себя увереннее в управлении проектами, понимаю процессы и инструменты. Курс дал не только знания, но и реальные навыки для старта в профессии. Однозначно рекомендую тем, кто хочет войти в IT или прокачаться в проектном менеджменте. Оценка: 5/5
курс Менеджер Проектов (я брал расширенный - с soft skills) содержит не только базовые знания, но и практику - работа над 2 проектами в команде очень хорошо помогает закрепить теорию
можно было бы подинамичнее, но это не всем подходит, а вот от реальных бизнес-кейсов, мне кажется, всем бы было только больше пользы
Полезные знания
Всё понравилось - полезные знания, чёткая структура, отличная работа кураторов, мне повезло попасть в замечательную команду, с которой мы работали над 2 кейсами. Можно было бы добавить динамики и кейсы из реальной бизнес-практики (как самого Яндекса, так и многочисленных партнёров). Ну и если бы ещё привлечь компании, которые давали бы свои бизнес кейсы для выпускников в качестве заданий для финального экзамена и одновременно тестового задания для отбора на вакантные позиции проджектов, это было бы совсем здорово!
структура, интересно, классная подача, поддержка
хотелось бы посложнее
Обучение понравилось, дают базу для освоения профессии
Обучалась на курсе "Продукт менеджер с нуля". Было интересно, красивая история в тренажере. Структурированная информация. Но мне хотелось бы курс немного сложнее, не хватало заданий-вызовов, над которыми надо прям потрудиться. Очень классная команда сопровождения, было приятно работать с ребятами).
