Салют 👋,
Отмечу основные моменты:
- Цель - сформировать навыки работы с
git,CI,CD,docker,packages,appsec toolchain,yml, etc. - *Часть работ базируется на на
Go,Python,JAVA,Shellи и.д. - Рассматриваются инструменты
SAST,SCA,Container Security,DAST,Secret Detection, etc. - Работы направлены на углубление и изучение материалов анализа рисков и оценки защищенности приложений, которые необходимы для итерационной разработки, также дают дополнительно возможности для изучения паттернов программирования, прототипирования
- Каждый мини проект должен будет собран по формату из представленных лабораторных работ и размещен на сервисе
GitHub, с формирование соответствующего отчета в видеgistupдля демонстрации выполненной работы и скриншотами результатов (где это требуется). - Для каждой лабораторной работы следует создавать собственный репозиторий (возможно использование
forkс родительского), в котором необходимо разместить исходный код проекта, далее составить отчет к нему в форматеgistup. - Все лабораторные работы должны быть выполнены в ветке develop и необходимо cделать approve по
pull requestна geminishkv, тем самым будет финально подтверждаться согласование изменений и правок, которые были внесены удаленно
Замечание:
- Лабораторные работы - обязательны к прохождению, сдаче и итерационной разработке, при любом уровне подготовки
- Необходимо скопировать этапы реализации и отмечать у себя именно те, которые были сделаны
- Каждая работа изначально должна итерационно разбиваться на коммиты изменений для их отслеживания
- Каждый отчет сдается индивидуально с защитой, каждая используемая команда должна иметь описание (пояснение) в отчете
gistupи содержать вывод из терминала с пояснением команды в консоли - В лабораторных рассматривается также использование инструментов требующих установки дополнительных пакетов open-source
- Для всех отчетов следует избегать скриншотов и делать со вставками вывода из консоли и описания используемых команд, флагов и что они означают для понимания принципа их работы
- Ознакомление с учебными материалами по лекциям
- Ознакомиться с примерами
- Каждый репозиторий должен содержать
.gitignore,code of condact,contributing,license,notice,securityи должен быть адаптирован под конкретную лабораторную работу, проект.- Обратите внимание, что тип лицензий должен быть подобран правильно при переиспользовании материалов проекта и следует ознакомиться с ними дополнительно.
- Пример отчета тут
- Выполнить следующие работы порядково:
- lab01 - Лабораторная работа посвящена изучению gitscm и подготовительными материалами для последующих работ
- Материалы для работы тут
- lab02 - Лабораторная работа посвящена изучению работы *nix, контролей прав доступа, оперированию процессов
- Материалы для работы тут
- lab03 - Лабораторная работа посвящена изучению nmap и анализа выявленных уязвимостей
- Материалы для работы тут
- lab04 - Данная лабораторная работа посвящена практическому анализу и определению мер снижения рисков ИБ
- lab05 - Данная лабораторная работа посвящена изучению Docker и как с ним работать
- Материалы для работы тут
- lab06 - Данная лабораторная работа посвящена изучению Docker CIS Benchmark для выявления уязвимостей, проверки Docker-host и как с ним работать
- Материалы для работы тут
- lab07 - Данная лабораторная работа посвящена изучению SAST, SCA для выявления уязвимостей и как с ним работать на примере Semgrep, Checkov, Dependency Check
- Материалы для работы тут
- lab 08 - Данная лабораторная работа посвящена изучению DAST OWASP ZAP и ручного тестирования уязвимого приложения
- Материалы для работы тут
- lab 09 - Данная лабораторная работа посвящена построению DevSecOps CI/CD конвейера на GitHub Actions и встраиванию инструментов безопасности
- Материалы для работы тут
- lab 10 - Данная лабораторная работа посвящена оценке анализов рисков ИБ и отработке практических знаний
- Реализовать итоговую работу и составить отчет
- pet_project - Индивидуальный проект: тема согласовывается с преподавателем, применяется весь стек AppSec/DevSecOps инструментов
flowchart TD
subgraph Foundations["Основы"]
L01["Lab 01 · Git SCM"]
L02["Lab 02 · Linux & ACL"]
L03["Lab 03 · Nmap"]
L04["Lab 04 · Risk Analysis"]
end
subgraph Containers["Контейнеризация"]
L05["Lab 05 · Docker"]
L06["Lab 06 · Docker CIS Benchmark"]
end
subgraph AppSec["AppSec Toolchain"]
L07["Lab 07 · SAST · SCA\nSemgrep · Checkov · Dependency-Check"]
L08["Lab 08 · DAST\nOWASP ZAP"]
end
subgraph DevSecOps["DevSecOps"]
L09["Lab 09 · CI/CD Pipeline\nGitHub Actions"]
L10["Lab 10 · Risk Analysis · Practice"]
end
PET["Pet Project - индивидуальная работа"]
Foundations --> Containers
Containers --> AppSec
AppSec --> DevSecOps
DevSecOps --> PET
- Единый стиль кода
- Все функции по работе с деревом должны находиться в пространстве имен
- Оформление
README.mdв соответствии с содержанием проекта - Оформление
.gitignoreв соответствии с содержанием проекта - Оформление
.dockerignoreв соответствии с содержанием проекта - Использовать подходящий тип
LICENSEдля проекта иNOTICE - Создать и использовать скрипты для автоматизации сборки проекта, примеров, тестов, пакетирования
- Обеспечить непрерывный процесс сборки проекта с использованием сервиса
GitHub Actions - Написать документацию к проекту с использованием инструмента doxygen
- Обеспечить размещение пакета проекта на сервисе
GitHub Releaseпри успешном слияние веткиdevelop - Рефакторинг и поддержка лабораторных работ в процессной деятельности
- Все команды выполняться строго из
терминала/ консолибез использованияWebUIза исключениям работы с токенами, ключами и специфичными настройками
- Подготовка окружения
$ python3 -m venv .venv
$ source .venv/bin/activate
$ pip install -r requirements.txt
$ python -m mkdocs serve --livereload
# or
$ mkdocs serve -a 127.0.0.1:8001 # прямое обозначение адреса- Очистка локального репозитория
$ rm -rf __pycache__ scripts/__pycache__ # etc.
$ rm -rf .venv
$ lsof -i :8000
$ kill <PID>- Release
$ git tag -a v1.0.0 -m "v1.0.0"
$ git push origin v1.0.0
$ git tag -d v0.1.0 # удалить локальный тег
$ git push origin :refs/tags/v0.1.0 # удалить тот же тег на GitHub├── assets
│ └── logotype
│ ├── logo.jpg
│ └── logo2.jpg
├── CODE_OF_CONDUCT.md
├── CONTRIBUTING.md
├── docs
│ ├── about.md
│ ├── APPENDIX.md
│ ├── appsec_tt.md
│ ├── artifacts
│ │ ├── assets
│ │ │ ├── favicon.ico
│ │ │ ├── logo.png
│ │ │ └── logotypemd.jpg
│ │ ├── cheatsheet
│ │ │ ├── CHEATSHEET_DOCKER.md
│ │ │ ├── CHEATSHEET_DOCKERIGNORE.md
│ │ │ ├── CHEATSHEET_GH_CLI.md
│ │ │ ├── CHEATSHEET_GIT.md
│ │ │ └── CHEATSHEET_GITIGNORE.md
│ │ ├── exmpls
│ │ │ ├── risk-analysis.png
│ │ │ ├── table1.png
│ │ │ └── transaction.png
│ │ ├── owasp
│ │ │ ├── Authentication.pdf
│ │ │ ├── Authorization.pdf
│ │ │ ├── Client-side_Attacks.pdf
│ │ │ ├── Command_Execution.pdf
│ │ │ ├── Information_Disclosure.pdf
│ │ │ ├── Logical_Attacks.pdf
│ │ │ └── OWASP_Top_10_CICD_Risks.pdf
│ │ └── ppt
│ │ └── Лекция_Управление Рисками ИБ_intro.pdf
│ ├── channel.md
│ ├── index.md
│ ├── javascripts
│ │ ├── custom-title.js
│ │ └── typewriter-target.js
│ ├── labs
│ │ ├── lab01.md
│ │ ├── lab02.md
│ │ ├── lab03.md
│ │ ├── lab04.md
│ │ ├── lab05.md
│ │ ├── lab06.md
│ │ ├── lab07.md
│ │ ├── lab08.md
│ │ ├── lab09.md
│ │ ├── lab10.md
│ │ └── pet_project.md
│ ├── licenses.md
│ ├── materials
│ │ ├── examples
│ │ │ ├── exmpl.md
│ │ │ ├── Multisignature.md
│ │ │ ├── PrintNightmare.md
│ │ │ └── RA.md
│ │ └── OWASPTOP10
│ │ ├── Authentication.md
│ │ ├── Authorization.md
│ │ ├── Client-side Attacks.md
│ │ ├── Command Execution.md
│ │ ├── Information Disclosure.md
│ │ ├── Logical Attacks.md
│ │ └── OWASP_Top_10_CICD_Risks.md
│ ├── RELEASE_NOTES.md
│ ├── robots.txt
│ ├── Security.md
│ └── stylesheets
│ ├── burger.css
│ ├── clipboard.css
│ ├── footer.css
│ ├── header.css
│ ├── layout.css
│ ├── mobile-logo.css
│ ├── search.css
│ ├── sidebar.css
│ ├── tools-overlay.css
│ └── typeset.css
├── eslint.config.js
├── labs
│ ├── lab01
│ │ ├── README.md
│ │ └── typersteel.py
│ ├── lab02
│ │ ├── exmpl_hello.py
│ │ ├── pygamesteel.py
│ │ └── README.md
│ ├── lab03
│ │ ├── exmp_targets.txt
│ │ └── README.md
│ ├── lab04
│ │ └── README.md
│ ├── lab05
│ │ ├── client
│ │ │ ├── client.py
│ │ │ ├── Dockerfile
│ │ │ └── requirements.txt
│ │ ├── docker-compose.yml
│ │ ├── README.md
│ │ ├── server
│ │ │ ├── app.py
│ │ │ ├── Dockerfile
│ │ │ └── requirements.txt
│ │ └── source
│ │ ├── Dockerfile
│ │ ├── hello.py
│ │ ├── image.tar
│ │ └── requirements.txt
│ ├── lab06
│ │ ├── audit_reports
│ │ ├── audit.sh
│ │ ├── config
│ │ │ └── nginx.conf
│ │ ├── docker-compose.yml
│ │ ├── README.md
│ │ └── vulnerable-app.yml
│ ├── lab07
│ │ ├── cheat_check_yuorself.sh
│ │ ├── docker-compose.yml
│ │ ├── README.md
│ │ ├── sast
│ │ │ ├── checkov-config.yaml
│ │ │ └── semgrep-rules.yml
│ │ ├── sca
│ │ │ ├── dependency-check.sh
│ │ │ └── pom.xml
│ │ └── vulnerable-app
│ │ ├── app.py
│ │ ├── config.yaml
│ │ ├── Dockerfile
│ │ └── requirements.txt
│ ├── lab08
│ │ ├── dast
│ │ │ ├── convert_reports.py
│ │ │ ├── reports
│ │ │ ├── zap_scan.sh
│ │ │ └── zap-baseline.conf
│ │ ├── docker-compose.yml
│ │ ├── README.md
│ │ ├── requirements.txt
│ │ └── vulnerable-app
│ │ ├── app.py
│ │ ├── Dockerfile
│ │ ├── files
│ │ │ └── secret.txt
│ │ └── requirements.txt
│ ├── lab09
│ │ └── README.md
│ ├── lab10
│ │ └── README.md
│ └── pet_project
│ └── README.md
├── LICENSE.md
├── mkdocs.yml
├── mypy.ini
├── NOTICE.md
├── README.md
├── RELEASE_NOTES.md
├── requirements.txt
├── ruff.toml
├── scripts
│ └── generate_sitemap.py
├── SECURITY.md
├── sitemap.xml
└── stylelint.config.cjs
Copyright (c) 2026 Elijah S Shmakov
