практикум

Сканирование и анализ уязвимостей

Научись выявлять и устранять уязвимости на всех этапах SDLC: от кода и зависимостей до сетевой инфраструктуры и контейнеров. Построй свой DevSecOps пайплайн.
Купить >>>

темы, которые вы освоите

Nessus
Nmap (NSE)
OWASP ZAP
Trivy
Semgrep
DefectDojo
OpenSCAP
Docker
Автоматизация
Сокращение времени на поиск уязвимостей за счет интеграции сканеров в пайплайны.
Снижение рисков
Использование EPSS позволяет фокусироваться на реально эксплуатируемых дырах, а не на 'шуме' сканеров.
Compliance
Соответствие требованиям регуляторов (PCI DSS, ISO) по регулярному сканированию и патч-менеджменту.
Карьерный рост
Переход в высокооплачиваемую нишу DevSecOps за счет освоения дефицитных навыков анализа кода и контейнеров.
Rebrain
— большое сообщество IT-специалистов, создаём
практикумы по инфраструктуре с 2018 года
Почему выбирают наши программы
  • Автоматические проверки — мгновенная обратная связь по заданиям
  • Проверки менторами — DevOps-инжерами с опытом в индустрии от 5+ лет
  • Возможность общаться с опытными практикующими специалистами
  • Свободный темп — проходите без жёстких дедлайнов
  • Прикладные задачи — кейсы, приближенные к реальной работе DevOps-инженера
Стать частью сообщества >>>
phone

Кому подойдёт

System Administrators

Инженеры, желающие перейти в Security и научиться защищать вверенную инфраструктуру от взломов.

DevOps-инженеры

Специалисты, которым нужно внедрить проверки безопасности в CI/CD без замедления процесса разработки.

Junior Security Engineers

Начинающие безопасники, которым не хватает системных знаний по инструментарию и процессам VM.

Как проходит
практикум

Команда Rebrain изучает, какие из компетенций требуются на разных уровнях профессий.

программа практикума

Сканирование и анализ уязвимостей

  • Введение
  • Жизненный цикл управления уязвимостями (Vulnerability Management)
  • Метрики и базы знаний: CVE, CVSS, CWE, EPSS
  • Сетевая разведка и Discovery-сканирование
  • Инфраструктурные сканеры уязвимостей (Nessus)
  • Динамический анализ приложений (DAST): OWASP ZAP
  • Верификация уязвимостей и Triage
  • Статический анализ кода (SAST): Поиск уязвимостей в Source Code
  • Анализ зависимостей (SCA) и Supply Chain Security
  • Безопасность контейнеров и IaC
  • Контроль соответствия стандартам (Compliance & Misconfiguration)
  • Агрегация результатов: DefectDojo
  • Итоговый проект
  • Заключение
Эксперт практикума
Константин Зубченко
Константин Зубченко
За годы работы в отрасли прошёл путь от анализа защищённости промышленных систем до инженерных и экспертных ролей в крупных российских компаниях. Участвовал в сложных проектах на стыке разработки и информационной безопасности, усиливая команды и процессы. Мой опыт — это сочетание практического пентеста, инженерного мышления и глубокого понимания современных ИБ-подходов.
Ведущий инженер-разработчик в компании BI.ZONE

Ключевые навыки для резюме:

Внедрение процесса Vulnerability Management на базе Nessus и DefectDojo для Enterprise-инфраструктуры.
Автоматизация поиска уязвимостей в CI/CD пайплайнах с использованием Semgrep, Trivy и OWASP ZAP.
Проведение аудита безопасности Linux-серверов на соответствие стандартам CIS Benchmarks через OpenSCAP.
Анализ и приоритизация рисков с использованием метрик CVSS v3/v4, EPSS и каталогов CISA KEV.
Выявление и эксплуатация уязвимостей веб-приложений (OWASP Top 10) методом черного ящика (DAST).
Обеспечение безопасности цепочки поставок (Supply Chain Security) через генерацию и анализ SBOM.
Настройка Security Quality Gates для блокировки деплоя при обнаружении критических уязвимостей в коде или образах.

Пример задания

Создание автоматизированного DevSecOps пайплайна для микросервисного приложения. Тебе предстоит интегрировать SAST, SCA и Container Scanning в CI/CD, настроить автоматическую выгрузку результатов в DefectDojo и реализовать логику Fail-fast, которая останавливает сборку при наличии незакрытых High/Critical уязвимостей.

Остались вопросы?
Приходите на бесплатную консультацию с экспертом.

практикум

Сканирование и анализ уязвимостей

В стоимость входит:

  • Выполнение задач на настоящей инфраструктуре
  • Сопровождение — менторы, координатор
  • Бессрочный доступ к теоретической части практикума
стоимость
25 000 руб.
30 000 руб.
Перейти к оплате >>>
FAQ

Для SAST желательно понимать структуру кода, но глубокой разработки не требуется — мы учим использовать готовые инструменты и писать простые правила.

Принципы работы схожи, но Nessus является стандартом для Enterprise. При необходимости, можно использовать и бесплатные аналоги: например, OpenVAS.

Да, в модуле верификации мы учимся вручную проверять настройки TLS и сертификатов с помощью утилит.

Да, курс построен на Docker-контейнерах и Open Source (кроме Nessus Essentials, который является Trial версией) решениях, которые можно развернуть в любой компании за один день.

Файлы куки

При использовании данного сайта, вы подтверждаете свое согласие на использование файлов cookie и других похожих технологий в соответствии с настоящим Уведомлением.

Курс Vulnerability Management и DevSecOps: от Nmap до CI/CD пайплайнов | Rebrain