• A
  • A
  • A
  • АБВ
  • АБВ
  • АБВ
  • А
  • А
  • А
  • А
  • А
Обычная версия сайта
Версия для слабовидящих
Расширенный поиск по сайту
Меню
Высшая школа экономики
Расширенный поиск по сайту
V Летняя школа DevOps/DevSecOps
Школы других лет
2021 2022 2023 2024

 

Нашли опечатку?
Выделите её, нажмите Ctrl+Enter и отправьте нам уведомление. Спасибо за участие!
Сервис предназначен только для отправки сообщений об орфографических и пунктуационных ошибках.

V Летняя школа DevOps/DevSecOps

Практические навыки DevSecOps для тех, кто строит безопасные пайплайны «от коммита до продакшена»

Цель школы

Сформировать у участников комплексное понимание DevSecOps‑подхода и дать практические навыки интеграции безопасности на всех этапах жизненного цикла приложения — от написания кода до автоматического деплоя в Kubernetes‑кластер. Школа сконцентрирована на современных инструментах и методах, включая SAST/SCA‑сканирование, защиту цепочки поставок, policy‑as‑code и event‑driven пайплайны.

За время школы вы освоите DevSecOps-практики, которые превратят ваш CI/CD в защищённый конвейер:

  • Настроите автоматические security-проверки на этапе написания кода , чтобы блокировать уязвимости до коммита.
  • Научитесь защищать цепочку поставок с помощью Cosign, Kyverno и SLSA .
  • Построите event-driven пайплайны через Argo Workflows/Events , которые безопасно доставляют приложения в Kubernetes.
  • Получите шаблоны и чек-листы для внедрения в свои проекты с первого дня после школы .

«80% утечек начинаются с цепочки поставок. Превратите security из слабого звена в безотказный конвейер безопасной поставки вашего кода». 

Почему это важно?

К 2025 г. 45 % компаний уже пострадали от атак на цепочку поставок (Gartner), прогнозируется, что ущерб будет расти на 15% каждый год (Cybersecurity Ventures)
­По данным SecurityScorecard, более 70 % столкнулись с реальными инцидентами от третьих сторон (SecurityScorecard).

Согласно отчету RedHat, 9 из 10 организаций имели как минимум один инцидент безопасности, связанный с контейнеризованными приложениями или kubernetes, 40 % компаний обнаружили ошибки конфигурации в Kubernetes, 45 % — runtime-инциденты, а 44 % — уязвимости на этапе сборки/деплоймента; 67 % задерживали вывод продукта из-за проблем с безопасностью (Red Hat, 2024).

Кому будет полезно

  • DevOps-инженерам , которые хотят интегрировать безопасность в пайплайны без замедления релизов.
  • Разработчикам , желающим понимать, как безопасно доставлять код в production.
  • Специалистам по безопасности , стремящимся автоматизировать проверки в Kubernetes.
  • Студентам технических специальностей, планирующим карьеру в cloud-native разработке.

Занятия проводят специалисты от индустрии в области безопасности, devops, оркестрации:

  • Бакин Александр, заместитель начальника Отдела DevSecOps, Инфосистемы Джет
  • Панасюк Евгений, руководитель направления безопасности облачных вычислений и k8s, Okko
  • Селяков Игорь, главный инженер DevOps, HR Платформа «Пульс», экосистема Сбера
  • Кирилл Ибрагимов, ведущий инженер MLOps в Magnit Tech
  • Дрозда Влада, SRE направления криптографической защиты информации, Т-Банк
  • Белугин Александр, IT-инженер банка
  • и другие спикеры

Содержание школы:

В рамках летней школы будут рассмотрены следующие темы:

  • DevSecOps: безопасность в CI/CD с первого коммита

    • Автоматическое SAST/SCA‑сканирование на каждом пуше

    • Блокировка merge в main при критических уязвимостях

    • Подпись образов через Cosign и проверка политиками Kyverno

    • Внедрение SLSA Level 2 для надёжной защиты цепочки поставок

  • Kubernetes‑security: policy‑as‑code вместо ручных настроек

    • Практики RBAC, NetworkPolicy и PSA для предотвращения атак

    • Шифрование секретов в etcd и централизованный аудит через Audit Logging

    • Пишем и применяем политики в YAML с Kyverno (Validate/Mutate/Generate)

    • Автоматическая генерация NetworkPolicy при создании namespace

  • Event‑driven оркестрация с Argo

    • Argo Workflows: Event-driven пайплайны для автоматизации

    • Argo Events: автоматический запуск пайплайнов по событиям

    • Интеграция с Kyverno для валидации манифестов до деплоя

    • Observability: централизованный сбор метрик и логов для мониторинга состояния пайплайнов и быстрого выявления проблем

 

Требования к участникам

DevSecOps - это тема на стыке разработки, тестирования, администрирования и безопасности, поэтому от вас потребуется некоторый бекграунд.

Вы должны уметь работать с linux в командной строке и иметь базовые навыки администрирования. Вам придется устанавливать и настраивать необходимые инструмены для devops и работы с контейнерами.

Вы должны иметь базовые навыки разработки на каком то языке и точно должны уметь читать программный код.

Базовые навыки, такие как работа с системой контроля версий (git) и общее представление о gitflow, так же нужны (мы рассматривали их на первой летней школе).

Работа с kubernetes планируется не с нуля, если с Kubernetes только начинаете - посмотрите материалы IV Летней школы DevOps/DevSecOps  — лекции + практикум по основам kubernetes.

Где искать информацию:

Обновления будут выкладываться на рабочей странице школы

 

Как попасть?

  • Заполните заявку до 14/08/2025 — мы проверим соответствие требованиям.
  • Получите доступ к подготовительным материалам.
  • Участвуйте в школе онлайн — все занятия записываются.
  • Выполняйте практические задания

Формат: онлайн 

Важные даты: 

14/08/2025 - окончание регистрации

с 16/08/2025 по 30/08/2025 - занятия летней школы

10/09/2025 - окончание проверки практических заданий

Регистрация: форма регистрации

Национальный исследовательский университет «Высшая школа экономики»Учебные подразделенияМосковский институт электроники и математики им. А.Н. ТихоноваЛетняя школа DevOpsV Летняя школа DevOps/DevSecOps
Редактору
© НИУ ВШЭ 1993–2021  Адреса и контакты  Условия использования материалов  Политика конфиденциальности  Карта сайта 

Шрифты HSE Sans и HSE Slab разработаны в Школе дизайна НИУ ВШЭ