Что входит в курс
6
104
9
52
Программа курса
52 учебных дня · 2 занятия в день по 1ч 20м · каждая строка = 1 учебный день
Фундамент курса. Поднимаете реальный VPS с нуля,
настраиваете Nginx, HTTPS и Firewall, деплоите FastAPI-приложение. Разбираете
уязвимости сервера на практике.
1.1Введение
в DevSecOps. VPS, SSH — первый сервер
2 занятия
1.2Файлы,
права доступа, аудит безопасности ФС
2 занятия
1.3Пользователи,
sudo, принцип минимальных привилегий
2 занятия
1.4Процессы
и порты — аудит открытых соединений
2 занятия
1.5systemd,
логи, поиск следов атак в journalctl
2 занятия
1.6FastAPI
+ Nginx + HTTPS + Firewall — деплой приложения
2 занятия
1.7Типичные
уязвимости сервера — разбор на практике
2 занятия
1.8Мини-проект:
полный деплой сервера с нуля
2 занятия
Git как инструмент безопасности: правильный
.gitignore, защищённые ветки, подписанные коммиты. Security code review с AI.
2.1Git
основы + .gitignore как инструмент безопасности
2 занятия
2.2Ветки,
merge, конфликты, branch protection rules
2 занятия
2.3Pull
Requests, code review, подписанные коммиты
2 занятия
2.4Security
code review чеклист + AI (Copilot)
2 занятия
2.5Мини-проект:
полный Git-цикл с защищённым репозиторием
2 занятия
GitLab CI с нуля до полного security pipeline. Разбор
реальных атак на CI/CD — SolarWinds, Codecov. Защита pipeline от supply chain
атак.
3.1Первый
pipeline в GitLab CI — stages, jobs, runners
2 занятия
3.2Build
Docker-образа в CI, кэширование, версионирование
2 занятия
3.3Тесты,
линтеры, автодеплой на VPS из pipeline
2 занятия
3.4Окружения
dev/staging/prod, секреты в CI, masked variables
2 занятия
3.5Отладка
pipeline, rollback стратегии
2 занятия
3.6Security
audit pipeline — минимальные права, изоляция
2 занятия
3.7Атаки
на CI/CD: SolarWinds, Codecov — демо на стенде
2 занятия
3.8Защита
pipeline от атак. Полный security pipeline + AI
2 занятия
3.9Мини-проект:
защищённый pipeline от коммита до деплоя
2 занятия
Docker от Dockerfile до безопасного production-стека.
Демо container escape и privilege escalation. Hardening контейнеров.
4.1Docker
основы, Dockerfile, слои и кэш
2 занятия
4.2Multi-stage
builds, оптимизация образов + AI (Copilot)
2 занятия
4.3Volumes,
Docker Compose, изоляция сетей
2 занятия
4.4Уязвимости
контейнеров — privileged, Docker socket
2 занятия
4.5Container
escape + privilege escalation — демо на стенде
2 занятия
4.6Hardening
контейнера: non-root, read-only FS, seccomp
2 занятия
4.7Docker
в CI/CD, сканирование образов в pipeline
2 занятия
4.8Мини-проект:
безопасный Docker Compose стек
2 занятия
Самый большой модуль курса — 15 учебных дней. Реальные
атаки на уязвимые приложения и полный набор инструментов защиты: от OWASP до
supply chain.
5.1OWASP
Top 10 — разбор с примерами
2 занятия
5.2SQL
Injection: атака на DVWA. Студенты повторяют на стенде
2 занятия
5.3SQL
Injection: защита. Параметризованные запросы, ORM
2 занятия
5.4XSS:
атака и кража cookie. Защита: CSP, HttpOnly
2 занятия
5.5Auth
bypass. JWT, OAuth2 — уязвимости и защита
2 занятия
5.6SSRF +
OWASP API Top 10 — атака и защита
2 занятия
5.7Threat
Modeling по STRIDE — строим модель угроз своего приложения
2 занятия
5.8Безопасный
код: SSDLC, валидация ввода, security headers
2 занятия
5.9Rate
limiting, защита API, управление секретами
2 занятия
5.10RBAC,
hardening сервера и инфраструктуры
2 занятия
5.11SAST:
Semgrep, Bandit, AI-assisted SAST в pipeline
2 занятия
5.12DAST:
OWASP ZAP — динамический анализ в CI/CD
2 занятия
5.13SCA:
сканирование зависимостей. GitLeaks — секреты в репо
2 занятия
5.14Trivy
— сканирование контейнеров. Supply chain атаки
2 занятия
5.15Мини-проект:
полный security audit уязвимого приложения
2 занятия
AI как рабочий инструмент DevSecOps-инженера и как
источник новых угроз. Prompt injection, data leakage, AI-assisted SAST.
6.1Copilot,
Cursor: генерация конфигов, Dockerfile, pipeline
2 занятия
6.2Prompt
injection в pipeline — демо атаки и защита
2 занятия
6.3AI-assisted
SAST, LLM для анализа уязвимостей
2 занятия
6.4Policy
использования AI в команде. Практика: AI pipeline
2 занятия
Kubernetes для DevSecOps-инженера: от первого Pod до
RBAC и Network Policy. Деплой в Yandex Managed Kubernetes из CI/CD.
7.1Архитектура
K8s. Pods, kubectl — первый деплой
2 занятия
7.2Deployment,
Service, rolling update, rollback
2 занятия
7.3Namespaces,
ConfigMap, Ingress — полный деплой в облаке
2 занятия
7.4Secrets
в K8s (base64 ≠ шифрование). RBAC, Network Policy
2 занятия
7.5CI/CD →
K8s: автодеплой из GitLab CI. Мини-проект
2 занятия
Prometheus + Grafana для мониторинга безопасности.
Security dashboard, алерты на аномалии. Расследование инцидента по логам.
8.1Prometheus:
метрики приложения и сервера
2 занятия
8.2Grafana:
дашборды, security метрики, AI-аномалии
2 занятия
8.3Alertmanager:
алерты на failed logins, аномальный трафик
2 занятия
8.4ELK:
централизованные логи, поиск по подозрительной активности
2 занятия
8.5Расследование
инцидента по логам — демо атаки на стенде
2 занятия
8.6Мини-проект:
полный мониторинг стек с security dashboard
2 занятия
Финальный проект объединяет всё пройденное: реальное
приложение с полным DevSecOps pipeline, Threat Model и security audit. Портфолио
для собеседования.
9.1Постановка
задачи, архитектура, Threat Model по STRIDE
2 занятия
9.2Реализация:
контейнеризация, CI/CD + полный security pipeline
2 занятия
9.3Студенты
атакуют приложения друг друга. Исправление уязвимостей
2 занятия
9.4AI-инструменты
в проекте — разбор что сработало, что нет
2 занятия
9.5Итоговый
доклад: архитектура, pipeline, уязвимости, метрики
2 занятия
9.6Разбор
портфолио и карта развития: AppSec, Cloud Security, Pentest
2 занятия
Облачный контекст встроен по всему курсу: в CI/CD
(деплой на облачный стенд), Docker (registry), Kubernetes (managed cluster).
Этот модуль систематизирует.
10.1Yandex
Cloud, AWS, GCP — архитектура и ключевые сервисы
2 занятия
10.2IAM,
service accounts, типичные ошибки безопасности в облаке
2 занятия
