Завершил обучение на курсе «Внедрение и работа в DevSecOps» в OTUS.

Курс идёт примерно полгода, за это время на лекциях и самостоятельных домашках покрываются три больших блока знаний:

• актуальные языки программирования, их слабые места и уязвимости (включая популярные фреймворки), подходы к производству безопасного кода на них
• безопасность в контейнерных средах — от базовых причин возникновения уязвимостей до обзора инструментария обеспечения безопасности тут
• безопасность DevOps в различных проекциях — от общих принципов построения безопасных процессов разработки на предприятии, до конкретных инструментов безопасности на отдельных этапах цикла DevOps

Кроме того, по ходу немного затронули моделирование угроз и тестирование на проникновение, был небольшой модуль по безопасности операционок и инфраструктуры, и другие общебезопасниковые вещи.

Основная ценность курса — лекции от практиков из индустрии, когда преподаватель реально горит делом, умеет в вопрос и буквально только что «с полей». Также очень ценны домашки, не всегда лёгкие и доступно сформулированные — но именно в бессонных ночах борьбы с которыми появляется настоящий практический опыт. Особо отмечу лекции и практические задания от Анастасии Порхун — ультравосторг!

Слабая сторона курса — не все темы были покрыты такими вот настоящими мастерами, часть лекций читают теоретики-мультистаночники, и дополнительной пользы к презентации (подготовленной практиком) их невнятное бурчание не приносит. Можно конечно позадавать вопросы — но толку из этого мало.

В целом полезно и для общего развития и для работы. Будем применять