• A
  • A
  • A
  • АБB
  • АБB
  • АБB
  • А
  • А
  • А
  • А
  • А
Обычная версия сайта
Версия для слабовидящихВерсия для слабовидящихЛичный кабинет сотрудника ВШЭПоиск
Расширенный поиск
Меню
Высшая школа экономики
Личный кабинет сотрудника ВШЭПоиск
Расширенный поиск

Программа дисциплины

Бакалавриат 2025/2026

Разработка безопасного ПО

Статус: Курс по выбору (Программная инженерия)
Кто читает: Департамент программной инженерии
Когда читается: 3-й курс, 1, 2 модуль
Охват аудитории: для своего кампуса
Преподаватели: Бураков Даниил Игоревич, Силаев Юрий Владимирович
Язык: русский
Контактные часы: 56

Программа дисциплины

Дополнительные материалы в LMSЗадать вопрос

Аннотация

Дисциплина «Разработка безопасного ПО» формирует у студентов сквозные навыки: от основ информационной безопасности в программной инженерии и постановки требований безопасности до DevOps-процессов (Git, Docker, CI/CD) и интеграции DevSecOps-контролей (SAST/DAST/Deps/Secrets, SBOM, контейнерная и IaC-безопасность, логи и алёрты). По итогам курса студенты создают рабочий репозиторий учебного приложения с моделью угроз, настроенным конвейером сборки/тестов, автоматизированными сканами и базовыми практиками реагирования.
Цель освоения дисциплины

Цель освоения дисциплины

  • Сформировать у студентов системное понимание и практические умения проектировать, разрабатывать и сопровождать программные системы с заданным уровнем безопасности, интегрируя требования ИБ и автоматизированные контрольные меры в стандартный DevOps-процесс
Планируемые результаты обучения

Планируемые результаты обучения

  • Формулировать требования безопасности (NFR) и выполнять моделирование угроз: строить контекст/DFD, применять STRIDE, составлять регистр угроз и мер с критериями приёмки.
  • Настраивать базовый DevOps-процесс: организовывать ветвление в Git, собирать приложение в Docker (multi-stage), поднимать reproducible окружение и настраивать CI/CD с автотестами и артефактами.
  • Реализовывать безопасное кодирование: вводная валидация/канонизация, защита от XSS/SQLi/десериализации; AuthN/AuthZ (OIDC/JWT, роли), покрытие модулей тестами не ниже оговорённого порога.
  • Автоматизировать DevSecOps-контроли: подключать SAST, secret-scan, dependency-скан с SBOM; запускать DAST для API; интерпретировать отчёты и вносить фикс-коммиты/MR с обоснованием по рискам.
  • Укреплять контейнеры и инфраструктуру как код: non-root, минимальные образы, ограничение capabilities, скан образов (Trivy), проверка IaC-политик (Checkov); добиваться отсутствия High/Critical-находок.
  • Организовывать наблюдаемость и реагирование: включать структурные логи, задавать правила оповещений, проводить краткий пост-мортем и документировать решения по рискам.
Содержание учебной дисциплины

Содержание учебной дисциплины

  • Безопасность в программной инженерии
  • Требования безопасности и NFR
  • Моделирование угроз: контекст, DFD, STRIDЕ
  • Безопасное проектирование
  • Безопасное кодирование и валидация
  • Культура DevOps и DORA-метрики
  • Контейнеризация и сборка
  • CI/CD: конвейеры и секреты
  • Цепочка поставок и зависимости (SBOM)
  • SAST, secret-scan, policy-as-code
  • DAST и тестирование API безопасности
  • Безопасность контейнеров и IaC
  • Наблюдаемость, аудит и реагирование
  • Приватность и интеграция DevSecOps
Элементы контроля

Элементы контроля

  • неблокирующий Q
    Квиз «Основы ИБ»
  • неблокирующий TM
    Пакет «Требования безопасности + Модель угроз»
  • неблокирующий DV
    Мини-проект «DevOps-конвейер»
  • неблокирующий DS
    Отчёт «DevSecOps-сканы и харднинг»
  • неблокирующий PL
    Средний балл за практики и лабораторные
  • неблокирующий EX
    Экзамен (письменно + устная защита)
Промежуточная аттестация

Промежуточная аттестация

  • 2025/2026 2nd module
    0.15 * DS + 0.2 * DV + 0.2 * EX + 0.2 * PL + 0.1 * Q + 0.15 * TM
Список литературы

Список литературы

Рекомендуемая основная литература

  • Казарин, О. В.  Надежность и безопасность программного обеспечения : учебник для вузов / О. В. Казарин, И. Б. Шубинский. — Москва : Издательство Юрайт, 2025. — 342 с. — (Высшее образование). — ISBN 978-5-534-05142-1. — Текст : электронный // Образовательная платформа Юрайт [сайт]. — URL: https://urait.ru/bcode/563862 (дата обращения: 03.04.2025).
  • Лукша, М. Kubernetes в действии / М. Лукша , перевод с английского А. В. Логунов. — Москва : ДМК Пресс, 2019. — 672 с. — ISBN 978-5-97060-657-5. — Текст : электронный // Лань : электронно-библиотечная система. — URL: https://e.lanbook.com/book/131688 (дата обращения: 00.00.0000). — Режим доступа: для авториз. пользователей.
  • Мельников, В. П., Информационная безопасность : учебник / В. П. Мельников, А. И. Куприянов, Т. Ю. Васильева. — Москва : КноРус, 2025. — 371 с. — ISBN 978-5-406-14007-9. — URL: https://book.ru/book/955990 (дата обращения: 03.04.2025). — Текст : электронный.
  • Сейерс, Э. Х. Docker на практике / Э. Х. Сейерс, А. Милл , перевод с английского Д. А. Беликов. — Москва : ДМК Пресс, 2020. — 516 с. — ISBN 978-5-97060-772-5. — Текст : электронный // Лань : электронно-библиотечная система. — URL: https://e.lanbook.com/book/131719 (дата обращения: 00.00.0000). — Режим доступа: для авториз. пользователей.

Рекомендуемая дополнительная литература

  • Безопасность веб-приложений - 978-5-4461-1786-4 - Хоффман Эндрю - 2021 - Санкт-Петербург: Питер - https://ibooks.ru/bookshelf/378722 - 378722 - iBOOKS
  • Информационная безопасность : учебник и практикум для акад. бакалавриата, Нестеров, С. А., 2016

Авторы

  • Силаев Юрий Владимирович
  • Буцкая Евгения Александровна