Профессия
Специалист по безопасной разработке

Цель курса — подготовить будущих специалистов по «Application Security» к работе в отделе обеспечения безопасности разработки ПО, ознакомив их с лучшими практиками и сформировавшимися подходами повышения уровня защищенности приложений в процессе разработки. А также познакомить специалистов с особенностями процессов безопасной разработки, инструментов применяемых в SSDLc цикле и научить их выстраивать взаимодействие в подразделении в соответствии с требованиями к процессу и пониманием эффективности шагов.

Записаться

на консультацию с экспертом

Код курса

S-400

Длительность

4.5 месяца

Формат обучения

Виртуальный класс

Аудитория курса:

Разработчики веб-приложений

Тестировщики веб-приложений

DevOps инженеры

Будущие руководители отдела безопасности приложений

Специалисты по безопасности приложений с опытом работы до 1 года

По данным карьерного сервиса CyberEd
на рынке большой дефицит кадров

Каждая вторая

вакансия IT-специалиста требует знания основ прикладной ИБ

1500+

вакансий специалистов по безопасности продуктов открыто вам после обучения

150 000 ₽

получает специалист с опытом от года

Почему стоит начать
прямо сейчас?

Важная роль

Грамотный специалист по безопасной разработке нужен в каждую развивающуюся команду разработки, абсолютно любого программного продукта.

Вам доступны сотни вакансий

Прямо сейчас крупнейшие компании России в области разработки испытывают острую потребность в специалистах по продуктовой безопасности.

Прощай «блокеры»

Команда разработки, в которой есть специалист по безопасной разработке, до минимума снижает допущение уязвимостей при выпуске новых релизов.

Развитие IT-специалиста

Программа обучения позволит заглянуть в новую область, получить знания и навыки и применить их в своей работе, повысив квалификацию.

Отсутствие специалистов

Рынок специалистов продуктовой безопасности абсолютно пуст. Пока еще нет ни одного института подготавливающего подобного рода специалистов. Станьте первыми.

«Прокачайте» резюме

С момента входа на курс, отразив это в своем резюме, вы начнете получать десятки предложений о работе Application Security экспертом, DevSecOps’ом или специалистом по безопасной разработке в команды разработки.

Специалист по безопасной разработке
кто это?

Лидер безопасной разработки

Специалист из команды, разрабатывающей и поддерживающей программный продукт (веб / десктоп / мобильные приложения и пр.) и обладающий знаниями и квалификацией в сфере безопасности программных продуктов. Он досконально знает архитектуру продукта и является единой точкой входа для вопросов по обеспечению безопасности продукта.

Что он делает на практике?

Главной задачей специалиста является постоянное улучшение безопасности продукта: работа с инструментальным стеком ИБ-специалиста, проведение анализа кода, изучение новых решений в продукте на предмет их безопасности, внедрение более защищенных механизмов и подходов к построению архитектуры.

Мотивация специалиста

Специалист по безопасной разработке никогда не останется без работы. Как в сфере разработки, так и в сфере безопасности такой специалист будет на ведущих позициях, так как он лучше, чем разработчики, знает прикладные аспекты ИБ и лучше специалистов по ИБ знает устройство и природу информационных систем, а также программных продуктов.

Чему научатся слушатели:

Формулировать требования и процессы в цикле безопасной разработки ПО, а также строить дорожную карту развития SSDLc

Применять инструменты DAST, SAST, SCA в CI/CD

Автоматизировать анализ безопасности окружения приложений

Обнаруживать ряд типовых уязвимостей и угроз веб-приложений, входящих в список проекта OWASP Top 10, с использованием автоматизированных средств

Корректно устранять ряд типовых уязвимостей, входящих в список проекта OWASP Top 10

Программа обучения

4.5 месяца

5 модулей

160 ак. часов

40 занятий

2-3 занятия в неделю

Модуль S-123. Основы безопасной разработки программного обеспечения (Secure Software Development)
5 занятий
  • Введение в информационную безопасность и концепты безопасной разработки
  • Принципы дизайна для безопасной разработки и требования для безопасной разработки
  • Offensive/Defensive практики по безопасной разработке
  • Тестирование и ПСИ для безопасного ПО
  • Развертывание, обслуживание, интеграция, цепочка поставок, использование стороннего ПО в разработке
Модуль S-224. Безопасность окружения приложений
10 занятий
  • Окружение приложений
  • Безопасность на уровне ОС
  • Nginx — Описание, Настройка, Безопасность
  • Введение в Docker контейнеры
  • Безопасность Docker
  • Введение в Kubernetes
  • Безопасность в Kubernetes
  • Hashicorp Vault — Безопасное хранение секретов
  • Обеспечение безопасности облачных сред
  • Финальное занятие — сдача финального проекта
Модуль S-225. Разработка безопасных веб-приложений
15 занятий
  • Вводное занятие
  • Сбор информации о веб-приложениях
  • OS-command injection
  • SQL-injection
  • Безопасность СУБД
  • Криптография для веб-приложений
  • Аутентификация
  • Файлы и проблемы, связанные с ними
  • Логические ошибки
  • Server Side Template Injection (SSTI), Prototype Pollution
  • Небезопасная десераилизация
  • Server Side Request Forgery (SSRF), XML eXternal Entity (XXE)
  • Same Origin Policy (SOP), Client Side Request Forgery(CSRF)
  • Cross-Origin Resource Sharing (CORS), Cross-Site Scripting (XSS)
  • XSS — продолжение, Content Security Policy (CSP)
Модуль S-226. Средства автоматизации информационной безопасности в SSDLc
5 занятий
  • Автоматизация процессов ИБ при помощи инструментов и технологий
  • Сканеры уязвимостей
  • Статические анализаторы кода
  • Инструменты анализа сторонних компонентов ПО (SCA)
  • Web Application Firewall
Модуль S-327. Построение SSDL/Безопасный цикл разработки ПО
5 занятий
  • Без чего не может существовать SSDLC (Идеальный SSDLC)
  • Продукты и интеграция ПО и Результаты и работа с результатами
  • Итоговый проект, начало
  • Сдача работ
  • Финальное занятие. Выводы
Записаться

на консультацию с экспертом

Как проходит обучение

  • Иммерсивный подход
  • Фокус на практике. Более 70% времени обучения вы уделите развитию практических навыков.

  • Никаких записей с прошлых потоков
  • Обновляем контент перед каждым запуском курса, снимая актуальные запросы с рынка и ориентируемся на них, создавая программы обучения.

  • Эксперты — реальные практики
  • Наши преподаватели — профессионалы, рассказывающие об областях, в которых они добились успеха. Мы приглашаем лучших экспертов — практиков, которые каждый день сталкиваются с реальными задачами и решают их.

  • Дополнительные задания с поддержкой эксперта
  • После каждого практического занятия вы получаете дополнительное задание с обязательной обратной связью от преподавателя.

    01   / 05

    Что вы получите
    после 4.5 месяцев обучения?

    Значительный рост вашей стоимости на рынке труда.
    Расширите стек известных технологий связанных с обеспечением ИБ.
    Получите навыки организации безопасной разработки продуктов.

    Ваше резюме
    после окончания обучения

    Сергей Инкогнитов

    Java Developer | Специалист по безопасной разработке | Application Security Specialist

    Ожидаемая зарплата

    250 000 ₽

    Навыки

    • Ревью безопасности кода приложений внутренней разработки
    • Участие в проработке защищенной архитектуры продукта
    • Создание и развитие SSDLC цикла
    • Пилоты и внедрение новых инструментов безопасности
    • Разработка своих инструментов и скриптов автоматизации
    • Консультация и обучение команды в рамках процесса безопасной разработки
    • Умение воспроизводить атаки для демонстрации угрозы уязвимостей
    • Умение использовать и внедрять коммерческие программные средства защиты приложений (Сканеры, анализаторы кода, фаерволы)
    • Настройка окружения приложения для мониторинга инцидентов ИБ и их расследования при помощи программных средств
    • Расследование инцидентов ИБ при помощи программных средств

    Ожидаемая зарплата

    250 000 ₽

    Записаться на консультацию с экспертом

    !
    !
    Программа разработана на основе опыта наших экспертов работающих в компаниях

    user search complete

    Преподаватели — эксперты-практики, работающие в ТОП-компаниях

    Все преподаватели
    Назад

    FAQ — ответы на частозадаваемые вопросы

    Требования к слушателям курса?
    • Уметь читать специализированную документацию и техническую литературу на английском языке
    • Иметь опыт написания кода на любом языке программирования (PHP, Python, Java, JavaScript, Ruby, etc…)
    • Иметь представление о взаимодействии компьютеров в сети (понимать работу протоколов IP, TCP, DNS, HTTP)
    • Иметь опыт разработки веб-приложений (как минимум динамических страниц).
    Требования к программному обеспечению?

    Рекомендуемые технические требования

    для комфортного прохождения модуля и сохранения всех полученных материалов:

    • Не менее 8 ГБ DDR3 оперативной памяти
    • Процессор не менее четырех ядер с частотой не менее 2.3 Ггц
    • Жесткий диск SSD со свободным местом не менее 256 ГБ
    • Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
    • Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
    • Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)

    Все ответы

    Остались вопросы?.

    Оставьте номер телефона и мы перезвоним вам в течение нескольких минут

    !
    !
    Получить консультацию
    !
    !

    Спасибо,
    менеджер свяжеться с вами в ближайшее время

    Спасибо,
    за регистрацию на вебинар

    Заказать обратный звонок

    !
    Заполните это поле
    !
    Заполните это поле