практикум

Сканирование и анализ уязвимостей

Научись выявлять и устранять уязвимости на всех этапах SDLC: от кода и зависимостей до сетевой инфраструктуры и контейнеров. Построй свой DevSecOps пайплайн.
Начать >>>

темы, которые вы освоите

Nessus
Nmap (NSE)
OWASP ZAP
Trivy
Semgrep
DefectDojo
OpenSCAP
Docker
Автоматизация
Сокращение времени на поиск уязвимостей за счет интеграции сканеров в пайплайны.
Снижение рисков
Использование EPSS позволяет фокусироваться на реально эксплуатируемых дырах, а не на 'шуме' сканеров.
Compliance
Соответствие требованиям регуляторов (PCI DSS, ISO) по регулярному сканированию и патч-менеджменту.
Карьерный рост
Переход в высокооплачиваемую нишу DevSecOps за счет освоения дефицитных навыков анализа кода и контейнеров.
Rebrain
— большое сообщество IT-специалистов, создаём
практикумы по инфраструктуре с 2018 года
Почему выбирают наши программы
  • Автоматические проверки — мгновенная обратная связь по заданиям
  • Проверки менторами — DevOps-инжерами с опытом в индустрии от 5+ лет
  • Возможность общаться с опытными практикующими специалистами
  • Свободный темп — проходите без жёстких дедлайнов
  • Прикладные задачи — кейсы, приближенные к реальной работе DevOps-инженера
Стать частью сообщества >>>
phone

Кому подойдёт

System Administrators

Инженеры, желающие перейти в Security и научиться защищать вверенную инфраструктуру от взломов.

DevOps-инженеры

Специалисты, которым нужно внедрить проверки безопасности в CI/CD без замедления процесса разработки.

Junior Security Engineers

Начинающие безопасники, которым не хватает системных знаний по инструментарию и процессам VM.

Как проходит
практикум

Команда Rebrain изучает, какие из компетенций требуются на разных уровнях профессий. Мы понимаем, что нужно знать, чтобы на собеседовании или при выполнении задач чувствовать себя уверенно. После наших практикумов специалисты легко адаптируются к реальным рабочим условиям.

Материалы останутся с вами навсегда
Проходите в удобное для вас время

программа практикума

Сканирование и анализ уязвимостей

  • Введение
  • Жизненный цикл управления уязвимостями (Vulnerability Management)
  • Метрики и базы знаний: CVE, CVSS, CWE, EPSS
  • Сетевая разведка и Discovery-сканирование
  • Инфраструктурные сканеры уязвимостей (Nessus)
  • Динамический анализ приложений (DAST): OWASP ZAP
  • Верификация уязвимостей и Triage
  • Статический анализ кода (SAST): Поиск уязвимостей в Source Code
  • Анализ зависимостей (SCA) и Supply Chain Security
  • Безопасность контейнеров и IaC
  • Контроль соответствия стандартам (Compliance & Misconfiguration)
  • Агрегация результатов: DefectDojo
  • Итоговый проект
  • Заключение
Эксперт практикума
Константин Зубченко
Константин Зубченко
За годы работы в отрасли прошёл путь от анализа защищённости промышленных систем до инженерных и экспертных ролей в крупных российских компаниях. Участвовал в сложных проектах на стыке разработки и информационной безопасности, усиливая команды и процессы. Мой опыт — это сочетание практического пентеста, инженерного мышления и глубокого понимания современных ИБ-подходов.
Ведущий инженер-разработчик в компании BI.ZONE

Ключевые навыки для резюме:

Внедрение процесса Vulnerability Management на базе Nessus и DefectDojo для Enterprise-инфраструктуры.
Автоматизация поиска уязвимостей в CI/CD пайплайнах с использованием Semgrep, Trivy и OWASP ZAP.
Проведение аудита безопасности Linux-серверов на соответствие стандартам CIS Benchmarks через OpenSCAP.
Анализ и приоритизация рисков с использованием метрик CVSS v3/v4, EPSS и каталогов CISA KEV.
Выявление и эксплуатация уязвимостей веб-приложений (OWASP Top 10) методом черного ящика (DAST).
Обеспечение безопасности цепочки поставок (Supply Chain Security) через генерацию и анализ SBOM.
Настройка Security Quality Gates для блокировки деплоя при обнаружении критических уязвимостей в коде или образах.

немного о
технологии

Автоматизация

Сокращение времени на поиск уязвимостей за счет интеграции сканеров в пайплайны.

Снижение рисков

Использование EPSS позволяет фокусироваться на реально эксплуатируемых дырах, а не на 'шуме' сканеров.

Compliance

Соответствие требованиям регуляторов (PCI DSS, ISO) по регулярному сканированию и патч-менеджменту.

Карьерный рост

Переход в высокооплачиваемую нишу DevSecOps за счет освоения дефицитных навыков анализа кода и контейнеров.

Пример задания

Создание автоматизированного DevSecOps пайплайна для микросервисного приложения. Тебе предстоит интегрировать SAST, SCA и Container Scanning в CI/CD, настроить автоматическую выгрузку результатов в DefectDojo и реализовать логику Fail-fast, которая останавливает сборку при наличии незакрытых High/Critical уязвимостей.

Остались вопросы?
Приходите на бесплатную консультацию с экспертом. Мы ответим на все вопросы
и подробнее расскажем о практикуме.

практикум

Сканирование и анализ уязвимостей

В стоимость входит:

  • Выполнение задач на настоящей инфраструктуре
  • Сопровождение — менторы, координатор
  • Бессрочный доступ к теоретической части практикума
стоимость
25.000 руб.
30.000 руб.
от 6.250 руб./мес.
7.500 руб./мес.

долями на 4 платежа

от 6.250 руб./мес.
7.500 руб./мес.

долями на 4 платежа, или сразу - 25.000 руб.

Перейти к оплате >>>
FAQ

Для SAST желательно понимать структуру кода, но глубокой разработки не требуется — мы учим использовать готовые инструменты и писать простые правила.

Принципы работы схожи, но Nessus является стандартом для Enterprise. При необходимости, можно использовать и бесплатные аналоги: например, OpenVAS.

Да, в модуле верификации мы учимся вручную проверять настройки TLS и сертификатов с помощью утилит.

Да, курс построен на Docker-контейнерах и Open Source (кроме Nessus Essentials, который является Trial версией) решениях, которые можно развернуть в любой компании за один день.

Файлы куки

При использовании данного сайта, вы подтверждаете свое согласие на использование файлов cookie и других похожих технологий в соответствии с настоящим Уведомлением.