# 00 — Карта пути

← [Главная](../README.md)

## Цель

Составить **личный план обучения** DevSecOps: понять этапы, оценить время, зафиксировать контрольные точки и матрицу навыков.

## Предварительно

- Умение пользоваться компьютером и браузером
- Базовый английский для терминов (расшифровки даны в курсе)
- Желание учиться 8–10 часов в неделю минимум

## Время

**4–8 часов** (чтение + заполнение личного плана + первая самооценка)

---

## Дорожная карта курса

Курс разбит на **12 этапов**. Каждый этап — набор тем + практика. Не обязательно идеально знать всё перед переходом дальше, но **контрольные точки** (ниже) — обязательны.

```
Этап 0-1:  ЗАЧЕМ и КТО          → мотивация, термины, роль инженера
Этап 2:    МИНИМУМ РАЗРАБОТКИ   → код, Git, API, БД (без написания приложений)
Этап 3:    DEVOPS-ОСНОВА        → Linux, Docker, K8s, CI/CD, Terraform
Этап 4:    ФУНДАМЕН SECURITY    → CIA, OWASP, auth, криптография
Этап 5-8:  ИНСТРУМЕНТЫ         → SAST/DAST, pipeline, секреты, мониторинг
Этап 9-10: COMPLIANCE + CLOUD   → аудит, облака
Этап 11-12: ПРАКТИКА + PRO      → проекты, карьера
```

---

## Недельный план (пример на 24 недели)

При **10 ч/нед** (~240 ч) — реалистичный срок для разделов 00–04 + начала 05–06.

| Недели | Раздел | Акцент недели |
|--------|--------|---------------|
| 1 | 00, 01 | План, термины DevSecOps |
| 2–3 | 02 | Git, HTTP/API, обзор стека |
| 4–6 | 03 | Linux, Docker, первый pipeline |
| 7–8 | 03 | Kubernetes basics, Terraform |
| 9–11 | 04 | CIA, OWASP, auth, crypto |
| 12–14 | 05 | SAST, dependency scan |
| 15–17 | 06 | Security gates в CI |
| 18–20 | 07–08 | Секреты, логи, алерты |
| 21–22 | 09–10 | Compliance, cloud IAM |
| 23–24 | 11–12 | Pet-project, резюме |

**Гибкость:** если Linux уже знаком — сжимайте недели 4–5, но не пропускайте практику Docker/K8s.

---

## Матрица навыков

Оцените себя **0–3** (0 — не слышал, 1 — слышал, 2 — делал с подсказкой, 3 — делал сам):

| Навык | 0 | 1 | 2 | 3 | Целевой этап |
|-------|---|---|---|---|--------------|
| Термины DevOps/Security | | | | | После 01 |
| Git (clone, commit, push) | | | | | После 02 |
| HTTP, REST, JSON | | | | | После 02 |
| Linux shell (cd, grep, ssh) | | | | | После 03 |
| Docker (build, run) | | | | | После 03 |
| Kubernetes (pod, deploy) | | | | | После 03 |
| CI/CD (YAML pipeline) | | | | | После 03 |
| OWASP Top 10 (объяснить) | | | | | После 04 |
| AuthN vs AuthZ | | | | | После 04 |
| TLS/сертификаты (базово) | | | | | После 04 |

Пересматривайте матрицу **каждые 4 недели**.

---

## Контрольные точки (checkpoints)

Перед переходом к следующему блоку выполните минимум:

### CP-1: После раздела 02

- [ ] Склонировали репозиторий и сделали commit с сообщением
- [ ] Объяснили, что такое API и JSON на примере
- [ ] Назвали 3 типа данных в БД (таблица, ключ-значение, документ)

### CP-2: После раздела 03

- [ ] Выполнили 10 команд в Linux shell без шпаргалки
- [ ] Запустили контейнер и зашли внутрь (`docker run`, `exec`)
- [ ] Описали pipeline из 3 шагов (lint → test → deploy)
- [ ] Применили Terraform plan (хотя бы в sandbox)

### CP-3: После раздела 04

- [ ] Объяснили CIA на бытовом примере
- [ ] Перечислили 5 пунктов OWASP Top 10 своими словами
- [ ] Различили authentication и authorization
- [ ] Объяснили, зачем HTTPS, не путая с паролем

### CP-4: Перед job-ready (этап 11+)

- [ ] Pet-project с CI, сканером, секретами в vault/env
- [ ] Написали postmortem учебного инцидента
- [ ] Резюме с 3 bullet про DevSecOps-практики

---

## Рекомендуемая среда для практики

| Что | Зачем | Безопасность |
|-----|-------|--------------|
| Локальная VM (Ubuntu) или WSL | Linux без риска для основной ОС | Не используйте prod-доступы |
| Docker Desktop / Podman | Контейнеры | Не публикуйте порты с секретами |
| minikube / kind | Kubernetes локально | Только lab-кластер |
| GitHub/GitLab free tier | Git + CI | Private repos для экспериментов |
| Облачный free tier | Terraform lab | Отдельный account, billing alerts |

---

## Типичные ошибки новичков

1. **Прыжок сразу в K8s** без Linux и Docker — будет «магия», а не понимание.
2. **Игнорирование основ разработки** — pipeline и SAST не имеют смысла без контекста кода.
3. **Только видео, без рук** — DevSecOps = 70% практики.
4. **Зубрёжка инструментов** — инструменты меняются; принципы (CIA, least privilege) остаются.

---

## Самопроверка

1. Сколько часов в неделю вы реально готовы учиться?
2. Какой у вас текущий уровень по матрице навыков (3 самых слабых)?
3. Какая контрольная точка ближайшая для вас?
4. Где вы будете вести конспект (Obsidian, Notion, блокнот)?

---

## Дальше

→ [01 — Что такое DevSecOps](../01-chto-takoe-devsecops/README.md)