Практический курс по прикладной безопасности приложений: от Git до полноценного DevSecOps-конвейера.

Что изучаем:

• Инфраструктура: Git, CI/CD, Docker, Docker Compose, GitHub Actions, YAML
• Языки: Python, Shell (Java и Go — в контексте SCA и анализа зависимостей)
• AppSec инструменты: Semgrep, Checkov, Bandit, OWASP Dependency-Check, Trivy, Docker Bench, OWASP ZAP, Gitleaks, TruffleHog, Hadolint
• Стандарты: OWASP Top 10, CIS Docker Benchmark, CVSS, ISO 27005, NIST SP 800-30, PCI DSS, ГОСТ 57580
• Анализ рисков: оценка, приоритизация, стратегии снижения рисков ИБ

Как устроен курс:

• 7 intro-руководств + 10 лабораторных работ + итоговый pet-project + 7 тестов (5 базовых + 2 лекционных)
• Каждая лабораторная — отдельный репозиторий с исходным кодом и отчётом в формате gistup
• Все работы выполняются в ветке develop → pull request → approve от geminishkv
• Прогрессия: Git → Linux → Nmap → Docker → CIS Benchmark → SAST/SCA → DAST → Secret Detection → CI/CD → Risk Analysis

Замечания:

• Лабораторные обязательны для всех — вне зависимости от уровня подготовки
• Каждая работа разбивается на атомарные коммиты для трекинга изменений
• Отчёт сдаётся индивидуально с защитой: каждая команда — с описанием флагов и выводом из терминала
• В отчётах — вывод из консоли, не скриншоты
• Часть инструментов требует установки дополнительных open-source пакетов

1. Выполнить подготовительные инструкции:
   • Подготовка рабочего окружения — VirtualBox, установка Linux
   • Настройка Git, GPG и GitHub CLI — git config, SSH, GnuPG, gh
   • Оформление отчётов Gistup — формат, структура, правила
   • Введение в сети и TCP/IP — OSI, порты, DNS, HTTP
   • Основы Docker — VM vs Container, Dockerfile, Compose
   • Введение в CI/CD — GitHub Actions, workflow, секреты
   • Установка AppSec-инструментов — Semgrep, Trivy, ZAP, Gitleaks, Checkov
2. Каждый репозиторий должен содержать .gitignore, CODE_OF_CONDUCT, CONTRIBUTING, LICENSE, NOTICE, SECURITY
3. Выполнить лабораторные работы по порядку:

• lab01 — GitSCM — подготовка рабочего окружения
• lab02 — *nix — права доступа, SUID, ACL, процессы
• lab03 — Nmap — сканирование сети, NSE и защита результатов
• lab04 — Анализ и определение мер снижения рисков ИБ
• lab05 — Docker — контейнеризация приложений
• lab06 — Docker CIS Benchmark и Trivy
• lab07 — SAST, SCA и Secret Detection
• lab08 — DAST — OWASP ZAP и ручное тестирование
• lab09 — DevSecOps CI/CD конвейер на GitHub Actions
• lab10 — Оценка анализа рисков ИБ — практика

4. Реализовать итоговую работу:

• pet_project — Индивидуальный проект: полный стек AppSec/DevSecOps

flowchart TD
 subgraph Intro["Подготовка (7 intro)"]
 I01["VirtualBox & Linux"]
 I02["Git, GPG, SSH, gh"]
 I03["Gistup отчёты"]
 I04["Сети и TCP/IP"]
 I05["Основы Docker"]
 I06["Введение в CI/CD"]
 I07["AppSec Tools Setup"]
 end
 subgraph Foundations["Основы"]
 L01["Lab 01 · Git SCM"]
 L02["Lab 02 · Linux, SUID, ACL"]
 L03["Lab 03 · Nmap, NSE"]
 L04["Lab 04 · Risk Analysis"]
 end
 subgraph Containers["Контейнеризация"]
 L05["Lab 05 · Docker"]
 L06["Lab 06 · CIS Benchmark, Trivy"]
 end
 subgraph AppSec["AppSec Toolchain"]
 L07["Lab 07 · SAST, SCA, Secret Detection\nSemgrep · Checkov · Gitleaks"]
 L08["Lab 08 · DAST\nOWASP ZAP"]
 end
 subgraph DevSecOps["DevSecOps"]
 L09["Lab 09 · CI/CD Pipeline\nGitHub Actions"]
 L10["Lab 10 · Risk Analysis · Practice"]
 end
 subgraph Tests["Тесты"]
 T01["Базовые: Вариант 1-5"]
 T02["Лекционные: Fintech V1-V2"]
 end
 PET["Pet Project — индивидуальная работа"]
 Intro --> Foundations
 Foundations --> Containers
 Containers --> AppSec
 AppSec --> DevSecOps
 DevSecOps --> Tests
 Tests --> PET

• Единый стиль кода
• Все функции по работе с деревом должны находиться в пространстве имен
• Оформление README.md в соответствии с содержанием проекта
• Оформление .gitignore в соответствии с содержанием проекта
• Оформление .dockerignore в соответствии с содержанием проекта
• Использовать подходящий тип LICENSE для проекта и NOTICE
• Создать и использовать скрипты для автоматизации сборки проекта, примеров, тестов, пакетирования
• Обеспечить непрерывный процесс сборки проекта с использованием сервиса GitHub Actions
• Написать документацию к проекту с использованием инструмента doxygen
• Обеспечить размещение пакета проекта на сервисе GitHub Release при успешном слияние ветки develop
• Рефакторинг и поддержка лабораторных работ в процессной деятельности
• Все команды выполняться строго из терминала/ консоли без использования WebUI за исключениям работы с токенами, ключами и специфичными настройками

• Подготовка окружения

$ python3 -m venv .venv
$ source .venv/bin/activate
$ pip install -r requirements.txt
$ python -m mkdocs serve --livereload
# or
$ mkdocs serve -a 127.0.0.1:8001 # прямое обозначение адреса

• Перегенерация Mermaid-диаграмм (при изменении .mmd файлов)

$ cd docs/artifacts/diagrams
$ for f in *.mmd; do
 npx --yes @mermaid-js/mermaid-cli \
 -i "$f" -o "${f%.mmd}.svg" \
 -c mermaid-config.json -b transparent
 done

• Очистка локального репозитория

$ rm -rf __pycache__ scripts/__pycache__
$ rm -rf .venv
$ lsof -i :8000
$ kill <PID>

• Release

$ git tag -a v1.0.0 -m "v1.0.0"
$ git push origin v1.0.0
$ git tag -d v0.1.0 # удалить локальный тег
$ git push --delete origin v1.2.3 # удалить тот же тег на GitHub

├── docs/ # MkDocs source (обёртки + материалы)
│ ├── index.md # Главная (hero + lab cards + tg widget)
│ ├── about.md # О проекте
│ ├── privacy.md # Политика конфиденциальности
│ ├── Security.md # Политика безопасности
│ ├── RELEASE_NOTES.md # Релизы
│ ├── glossary.md # 39 аббревиатур AppSec
│ ├── robots.txt # Robots + AI-bot blocking
│ ├── llms.txt # Описание для AI-поисковиков
│ ├── turbo-feed.xml # Яндекс.Турбо RSS
│ ├── labs/
│ │ ├── intro/ # 7 docs-обёрток intro
│ │ ├── basic/lab01-10.md # 10 docs-обёрток лабораторных
│ │ ├── pet_project.md # Итоговый проект
│ │ └── tests/
│ │ ├── basic/ # 5 вариантов базовых тестов
│ │ └── lectures/ # 2 варианта теста Fintech
│ ├── materials/
│ │ ├── lectures/fintech_ru.md # Лекция Fintech по-русски
│ │ ├── examples/ # 5 кейсов ИБ
│ │ ├── OWASPTOP10/ # 7 OWASP материалов
│ │ ├── cheatsheet/ # 9 шпаргалок
│ │ ├── ports.md # Справочник портов
│ │ ├── appsec_tt.md # 29 классов инструментов
│ │ ├── licenses.md # 41 лицензия
│ │ ├── APPENDIX.md # Команды и утилиты
│ │ └── troubleshooting.md # FAQ (~45 карточек)
│ ├── stylesheets/ # CSS (tokens, layout, header, sidebar, ...)
│ ├── javascripts/ # JS (header, typewriter, banners, effects)
│ ├── overrides/ # main.html (SEO, JSON-LD, Метрика), 404.html
│ └── artifacts/
│ ├── assets/ # Logo (SVG), favicon (ICO), images
│ └── diagrams/ # 7 Mermaid SVG + .mmd исходники
├── labs/
│ ├── intro/ # 7 intro-руководств (исходники)
│ ├── basic/lab01-10/ # 10 лабораторных (код + README + docker-compose)
│ ├── pet_project/ # Итоговый проект
│ └── tests/
│ ├── basic/ # 5 базовых тестов (исходники)
│ └── lectures/ru_fintech/ # 2 варианта теста Fintech (исходники)
├── .github/workflows/
│ ├── ci.yml # Lint → Audit → Mermaid SVG → Build → Deploy
│ └── release-from-notes.yml
├── hooks.py # Sitemap enrichment (priority + changefreq)
├── mkdocs.yml
├── requirements.txt
└── RELEASE_NOTES.md