Изучите основные способы атак и методы тестирования по версии OWASP. На тренинге рассматриваются общие принципы компрометации защиты веб-приложений и отдельные распространенные виды уязвимостей из списка OWASP TOP 10, а также будет продемонстрирован поиск уязвимостей в различных приложениях, примеры обнаружения уязвимостей по косвенным признакам. Также в рамках практической части тренинга рассматривается методика составления тестовых сценариев для тестирования системы на предмет обнаружения различных типов уязвимостей. ТЗ: Что тестрируем?Почему это проблема?Уязвимости веб-приложенийПротокол HTTPA1 – Broken Access ControlA2 – Cryptographic FailuresA3 – InjectionA4 – InSECURE DESIGNA5 – SECURITY MISCONFIGURATIONA6 – Vulnerable and Outdated ComponentsA7 – Identification and Authentication FailuresA8 – Software and Data Integrity FailuresA9 – Security Logging and Monitoring FailuresA3 – injections (XSS)Cross-Site Request Forgery (CSRF)A10 – SERVER SIDE REQUEST FORGERYSOAP API и JSON APIREST APIОбщий план тестированияПоиск уязвимостей в различных веб-приложениях.Составление тестовых сценариев для выявления уязвимостей.Анализ косвенных признаков уязвимостей.Применение инструментов для тестирования защищенности.

Курс по автоматизации тестирования для повышения эффективности и качества тестирования ПО. Цели автоматизации тестированияВиды автоматизации Теория: 0,5 ак.ч. Задачи автоматизации тестированияОбласти применения автоматизации Теория: 0,5 ак.ч. Плюсы и минусы автоматизации тестирования Теория: 1 ак.ч. Критерии оценки целесообразностиТипы тестов, подходящие для автоматизацииОценка экономической эффективности Теория: 1 ак.ч. Методы и технологииПринципы автоматизации тестированияОбщий подход к автоматизацииПонятие о фреймворке автоматизации Теория: 1 ак.ч. Виды работ по автоматизацииМатематические методы оценки трудозатратСуществующие методы оценки трудозатрат Теория: 1 ак.ч. Основные метрикиВозврат инвестиций (ROI) Теория: 1 ак.ч. Стратегия автоматизацииПринципы хорошей практикиФакторы, влияющие на выбор инструментария Практика: 1 ак.ч.

Метрики качества ПО для оптимизации тестирования и повышения эффективности разработки. Что такое проектФилип Кросби про качествоУправление качеством требует качественного управленияЭдсгер Вибе ДейкстраКеннет БланшарПонятие качестваИстория качестваЦикл Деминга-Шухарта (PDCA)Методология PDCAПостоянное улучшениеКачество продуктов и процессовЭкономия от улучшения качестваЦена дефектаПодходы к обеспечению качества ПОРоль тестирования в проектеВерификация и валидацияПланирование раундов тестированияМетрики дефектовМетрики в проектахМетрики в тестированииИзмерения продукта и процесса

Вводный курс по качеству ПО, управлению рисками, метрикам проверки, взаимосвязи требований и качества для эффективной оценки результатов. Определение тест-менеджмента и его роль в разработке ПО.Основные цели и задачи тест-менеджмента.Определение качества по Филипу Кросби.Удовлетворенность потребителей и качествоПланирование, обеспечение и контроль качества.Методология PDCA (Планирование, Выполнение, Проверка, Воздействие).Роль руководства в обеспечении качества.Цикл Деминга-Шухарта (PDCA).Постоянное улучшение процессов.Инженерия качества ПО и обеспечение качества ПО.Определение верификации и валидации.Методы статического и динамического тестирования.Основные метрики в проектах (продуктовые и процессные).Метрики в тестировании (плотность дефектов, эффективность тестирования и др.).Объективная оценка качества системы.Валидация требований к системе.Поиск и управление дефектами.Планирование раундов тестированияЧастота передачи версий на тестирование.Критерии начала раунда тестирования.Кто отвечает за качество ПО.За что отвечает тестировщик.Три главных вопроса тестировщику.Распространенные мифы о тестировщиках и тестировании.Причины заблуждений в управлении качеством.Автоматизация тестирования.Статистика и метрики в тестировании.Примеры из практики и кейсы.

Овладейте DevSecOps: получите знания по внедрению DevSecOps-инструментов и созданию безопасных веб- и serverless- приложений, CI/CD конвейеров, внедрению средств защиты. Вы изучите решения по обеспечению безопасности, такие как metasploit, clair, trivy, SAST и DAST анализаторы. Курс также включает описание схемы DevSecOps-конвейера, процесс внедрения инструментов и будущие тенденции в области безопасности. Безопасная настройка ОС Linux. Настройка привилегированных учетных записей. Поднятие привилегий.Практика: Развертывание контейнера с Ubuntu. Сканирование на уязвимости ОС Ubuntu. Настройка учетных записей с заданным набором прав доступа. [теория — 1 час; практика — 1 час]Безопасная настройка сети. Защита на периметре и внутри сети. Средства межсетевого экранирования, IDS, NGFW, WAF, PAM.Практика: настройка iptables по заданному набору правил. Настройка WAF из контейнера. [теория — 1 час; практика — 2 часа]Безопасная работа с Docker. Настройки среды контейнеризации. Создание образов. Оптимизация инструкций. Настройка аккаунта для работы в контейнере. Использование линтеров. Сканирование на уязвимости. Сетевое взаимодействие между контейнерами.Практика: создание образа с помощью Dockerfile. Использование безопасных настроек и оптимизация. Сканирование на уязвимости. Настройка безопасного взаимодействия между контейнерами по сети. [теория — 1,5 часа; практика — 2 часа]Обеспечение безопасности в Kubernetes. Пространства имен. Ролевая модель управления доступом. Pod Security Admission. Защита etcd. Безопасность транспортного уровня. Сети Istio.Практика: Настройка пространств имен, настройка доступа, создание сервиса средствами Kubernetes и настройка сетевого взаимодействия с помощью сервисных сетей Istio. [теория — 1,5 часа; практика — 2 часа]Безопасность веб приложений. Уязвимости OWASP TOP-10.Практика: Сканирование тестового уязвимого приложения на уязвимости. Эксплуатация найденных уязвимостей. Рассмотрение способов закрытия найденных уязвимостей. [теория — 2 часа; практика — 2 часа]Этапы работы конвейера CI/CD. Среды разработки, тестирования, QA, продакшен. Основные инструменты. Git, Jenkins, Kubernetes, Docker, инструменты разработки и тестирования.Практика: Развертывание контейнера с Jenkins. Настройка агентов. Выполнение сборки. [теория — 1 час; практика — 1 час]Безопасность на этапе разработки и сборки. SSDLC, SAST, SCA, DAST анализ. Встраиваем в конвейер CI/CD.Практика: Использование анализаторов исходного кода для различных языков программирования. Создание соответствующей задачи в конвейере Jenkins. [теория — 1 час; практика — 2 часа]Безопасность на этапе тестирования. Виды тестов, фаззинг, тестирование на проникновение. Знакомство с Kali Linux. Сканирование приложения на уязвимости.Практика: Установка сканера уязвимостей, пентест тестового контейнера с уязвимостями. Эксплуатация уязвимостей. [теория — 1 час; практика — 2 часа]Безопасность на этапе выпуска. Безопасное хранение артефактов, Обеспечение надежности при непрерывной доставке и развертывании.Практика: Создание собственного репозитория образов. Добавляем в конвейер задачу по сборке и обновлению артефакта без остановки работы приложения. [теория — 1 час; практика — 2 часа]Мониторинг безопасности работы приложения. Решения класса SIEM, EDR. Архитектура и основные принципы работы.Практика: развертывание SIEM Wazuh. Настройки аудита и подключение источника событий к SIEM. [теория — 1 час; практика — 2 часа]Перспективы развития DevSecOps.Тенденции на рынке ГОСТ Р56939 в новой редакции 2024 [теория — 1 час]

Тестирование веб-приложений: от технологий до практических навыков. Что такое веб-приложение?Архитектура веб-приложенийВеб-браузерТехнологии в вебHTTP-протоколПрактикаФайлы CookieПрактикаСпособы аутентификацииВеб-стандартыТестирование веб-приложенийФункциональное тестированиеТестирование производительностиПрактикаКонфигурационное тестированиеПрактикаТестирование юзабилитиПрактикаТестирование на мобильных устройствахПрактикаТестирование безопасностиИнструменты тестирования веб-приложенийПрактика

Изучите, как анализировать бизнес-процессы и находить возможности для их оптимизации с помощью современных методов. Показатели обратной связи по процессу Показатели времени исполнения Показатели стоимости процессов Показатели качества процессов CSI – подходы к расчету Методы сбора Способы сбора информации вручную Практика: разработка показателей обратной связи (кейс)Времена ожидания и времена исполнения Атрибуты имитационного моделирования Инструментарий имитационного моделирования Анализ результатов моделирования Практика: расчет времени процесса (кейс)Принципы расчета стоимости процесса Примеры расчета стоимости процесса Практика: расчет стоимости процесса (кейс)Ключевые показатели результативности Метрики процесса Аналитические разрезы Принципы анализа показателей процессов Визуализация показателей и аналитических разрезов Практика: создание показателей и аналитических разрезов по процессу (кейс)Цикл управления процессами Анализ процессов на основе данных в ИС Сквозной анализ процесса Портал мониторинга результативности процесса Примеры анализа процессов Понятие бизнес-объекта Выделение бизнес-объекта Определение бизнес-объектов в процессе Выделение атрибутов бизнес-объекта Практика: Определение объектов и атрибутовПонятие «проблема» Определение проблем Формулирование проблемы в процессе Подтверждение проблем через показатели Практика: формулирование проблем и подтверждение через показатели Методика 5 почему, диаграмма Ишикавы Принципы Кайдзен Подход DMAIC Обзор инструментов бережливого производства Способы визуализации процессов Анализ добавленной ценности в процессе Практика: Определение ценности в процессе Понятие потерь. Борьба с потерями Практика: Поиск потерьПонятие экземпляра бизнес-процесса Понятие статусов, событий и переходов Принципы Process Mining Подходы в анализе с Process Mining Примеры применения Process Mining Практика: создание требований на выгрузку (кейс)Определения Process Mining Семь фаз бизнес-процессов Руководящие принципы Process Mining Вызовы для Process MiningProcess Mining vs Task Mining Этапы Task Mining Преимущества и недостатки Task MiningПонятие Business Intelligence Принципы анализа процессов в BI Примеры анализа процессов в BIProcess Mining & Task Mining & BI Поиск потерь с инструментами Process & Task Mining

ИТ-рекрутмент — это больше, чем подбор сотрудников. Компании ожидают от рекрутеров глубокого понимания технических профессий, стратегического подхода к найму и способности привлекать лучших специалистов. Однако рынок переполнен курсами, которые дают лишь поверхностные знания и не готовят к реальным задачам.Модуль 1. Кто такой ИТ-рекрутер и его роль в бизнесе: Урок 1. Введение в профессию ИТ-рекрутераУрок 2. Различие между ИТ-рекрутментом и классическим подборомУрок 3. Карьерные пути: агентство, инхаус, фриланс, Executive SearchМодуль 1. Основы сорсинга Урок 1. Где искать ИТ-специалистов: основные площадкиУрок 2. Активный и пассивный поиск: плюсы и минусыУрок 3. Как правильно работать с резюме кандидатов Модуль 2. Продвинутые методы поиска Урок 1. Boolean Search: расширенные техникиУрок 2. X-Ray-поиск: как искать кандидатов на GitHub, Stack Overflow, Linkedin, ХабреУрок 3. Как использовать AmazingHiring и другие автоматизированные инструменты Модуль 3. Хантинг и переманивание ИТ-специалистов Урок 1. Как правильно писать холодные сообщенияУрок 2. Как работать с «закрытыми» специалистамиУрок 3. Стратегии поиска для редких и топовых позицийМодуль 1. Как работать с нанимающим менеджером Урок 1. Как правильно собирать требования на вакансиюУрок 2. Переговоры с нанимающим менеджером: ключевые ошибкиУрок 3. Как работать с отказами и корректировать стратегию найма Модуль 2. Аналитика и метрики в рекрутменте Урок 1. Воронка рекрутмента: как измерять эффективность подбораУрок 2. Основные HR-метрики: Time-to-Hire, Cost-per-Hire, Offer Acceptance RateУрок 3. Как рекрутер влияет на бизнес-показатели компанииМодуль 1. Первичный отбор кандидатов Урок 1. Как читать резюме ИТ-специалистаУрок 2. Как понять технический уровень кандидатаУрок 3. Как выявить мотивацию соискателя Модуль 2. Проведение интервью Урок 1. Как проводить структурированные интервьюУрок 2. Оценка soft skills: что важно в ИТ-командеУрок 3. Как давать обратную связь кандидатамМодуль 1. Как правильно презентовать оффер Урок 1. Работа с возражениями кандидатовУрок 2. Как снизить процент отказов от офферовУрок 3. Как закрывать вакансии быстрее Модуль 2. Онбординг и удержание сотрудников Урок 1. Как помочь новичку влиться в командуУрок 2. Как работать с кандидатом после выхода на работуУрок 3. Как избежать выгорания сотрудников в первый годМодуль 1. Автоматизация и digital-инструменты Урок 1. Как использовать AI в рекрутментеУрок 2. Чат-боты и автоматизированные воронкиУрок 3. HR-аналитика: как работать с большими данными Модуль 2. Digital-трансформация в подборе персонала Урок 1. Как изменится профессия рекрутера в ближайшие 5 летУрок 2. ИТ-рекрутинг в Web3, крипто- и блокчейн-компанияхУрок 3. Как технологии изменят рынок труда в будущемМодуль 1. Подготовка к проекту Урок 1. Как правильно выбрать вакансию для работыУрок 2. Разработка стратегии подбораУрок 3. Поиск и первичный отбор кандидатов Модуль 2. Интервью и оффер Урок 1. Проведение интервью с кандидатомУрок 2. Оценка кандидата и обратная связьУрок 3. Презентация кандидата заказчику и закрытие вакансии Модуль 3. Защита финального проекта Урок 1. Подготовка отчета о проделанной работеУрок 2. Презентация перед экспертами IBSУрок 3. Обратная связь от HR-лидеров рынкаРабота с реальными вакансиями: студенты будут анализировать требования, разрабатывать стратегию поиска и проводить оценку кандидатов. Сорсинг в боевых условиях: выполнение заданий по поиску кандидатов с использованием Boolean Search, X-Ray, AmazingHiring, LinkedIn и нестандартных платформ (GitHub, Stack Overflow, Telegram). Проведение интервью: отработка навыков оценки кандидатов, разбор hard и soft skills, ведение диалога с разработчиками. Разбор реальных кейсов: анализ успешных и провальных наймов, работа с отказами, корректировка стратегии подбора. Финальный проект: полный цикл

Обучение предлагает полное погружение в методы и стратегии оптимизации запросов в PostgreSQL. Вы сможете освоить различные подходы, включая индексирование, настройку оптимизатора запросов, оптимизацию соединений и выборку данных. Также вы научитесь анализировать запросы и собирать статистику по данным с помощью команд EXPLAIN и ANALYZE.  «Авиаперевозки»Планирование и выполнениеМетоды доступаПараллельный доступТипы индексовСоединение вложенным цикломСоединение хешированиемСоединение слияниемБазовая статистикаРасширенная статистикаПрофилированиеМатериализацияФункцииПодходы к настройке