- Основные преимущества java сертификации
- Как поймать то, чего нет. часть пятая, дробь два: что нужно знать для покупки сертифицированного продукта. чаво
- Oracle certified associate java programmer (ocajp) — java se 11 programmer i
- Oracle certified associate java programmer (ocajp) — java se 8 programmer i
- Oracle certified master java enterprise architect (ocmjea)
- Oracle certified professional java application developer (ocpjad) — java ee 7
- Oracle certified professional java programmer (ocpjp) — java se 11 programmer ii
- Oracle certified professional java programmer (ocpjp) — java se 8 programmer ii
- Как получить ocajp сертификацию?
- Как получить сертификацию ocmjea?
- Обзор java сертификаций от oracle
- Проверка на скрытый код
- Проверка целостности кода, аудит сборки
- Прохождение сценариев тестирования
- Результаты сертификации
- Сертифицированные средства защиты информации 2021
- Эпилог
Основные преимущества java сертификации
Перечислим основные преимущества профессиональных сертификаций для Java кодеров.
Прежде всего, наличие сертификата может помочь выделиться в глазах нанимателей и рекрутеров среди других кандидатов с такими же навыками и тем же уровнем опыта. А это бывает очень полезно, особенно для начинающих Java разработчиков, претендующих на позиции с большой конкуренцией среди соискателей.
В таких случаях любые методы, помогающие оставить конкурентов позади, будут хороши (в рамках приличий и этики конечно).
В такой ситуации наличие сертификации может дать вам целый ряд небольших, но ощутимых бонусов. Так, сертификация служит дополнительным доказательством того, что вы действительно обладаете указанными техническими навыками, а не просто добавили их в резюме для солидности.
Ну а подготовка к экзамену, который предшествует получению любой сертификации, поможет понять и закрепить в памяти все основные особенности этих технологий.
Помимо этого, наличие сертификации может избавить вас от необходимости проходить тестовые задания по данной технологии в ходе собеседования, а это всегда плюс, так как позволяет сохранить время и нервы.
Ну и наконец Java сертификация может хоть и не сильно, но повысить уровень предлагаемой зарплаты и увеличить шансы на продвижение по карьерной лестнице в ближайшем будущем.
Не говоря уже о том, что таким образом можно укрепить уверенность в своей квалификации в качестве Java-программиста, да и просто повысить ЧСВ, а это всегда приятно.
Как поймать то, чего нет. часть пятая, дробь два: что нужно знать для покупки сертифицированного продукта. чаво
Как это ни грустно, и что бы мы ни думали о возможности неиспользования сертифицированных средств защиты, но ситуация практически полностью совпадает с известным подходом: «Вы не согласны с результатами проверки? Ваше право! А пока мы заблокируем ваши счета». Поэтому рано или поздно (а для государственных органов и компаний, которым требуется обеспечить защиту гостайны — всегда) приходится обращаться к вендорам за соответствующим ПО. И тут начинается самое интересное.
Как вы думаете, что у нас просят? Для тех, кто сталкивался, ответ загадкой не является: «Нам нужен сертифицированный продукт». Для тех, кто не в курсе, такой запрос фактически соответствует знаменитому анекдоту: «Петька, прибор! 45! Что 45? А что прибор?»
Но не будем жаловаться! Вашему вниманию предлагается список типичных граблей, на которые наступают заказчики, желающие использовать сертифицированные антивирусные средства.
Внимание! Несмотря на то, что правила сертификации, поставки и обслуживания одинаковы для всех компаний, действующих на рынке, возможны мелкие вариации в составе сертифицированных версий, уровне сертификации и т. д. В связи с этим везде, где упоминаются конкретные случаи, указывается наименование компании. Дело в том, что поставка сертифицированных продуктов возможна только в коробке и соответственно автор пощупать руками все коробки всех поставщиков был не в состоянии. Если Хабражители обнаружат ошибку или укажут на иной подход для какой-то компании, соответствующие исправления будут с благодарностью приняты и внесены в статью.
Нам нужен сертифицированный продукт!
К сожалению, поставщику это ничего не говорит. У «Доктор Веб» сертифицирована вся линейка (http://company.drweb.ru/licenses_and_certificates/?lng=ru), у «Лаборатории Касперского» – отдельные продукты (http://www.kaspersky.ru/about/why/certificates/certificates-government), у остальных вендоров, как правило, сертифицируется один, наиболее продаваемый, продукт. «Доктор Веб» сертифицирует все продукты по максимальному уровню, у Лаборатории Касперского для разных продуктов сертификация происходит на различные уровни, остальные вендоры сертифицируют продукты по минимально требуемому уровню. И так далее.
Какую информацию в результате должен предоставить поставщику клиент, чтобы не промахнуться (поставщик-то поставить может все, что угодно, но вряд ли клиент обрадуется, когда в ходе развертывания поймет, что купленный им продукт не работает)?
- Тип сертификата. По каким требованиям должен быть сертифицирован продукт — ФСТЭК, ФСБ, МО, 1С, Газпром и т. д. Достаточно часто заказчики сами не определились, какие сертификаты им нужны. А разница весьма существенна. Скажем, сертифицированные для МО и по требованиям ФСТЭК продукты вполне могут не совпасть по системным требованиям и по требованиям систем сертификации. В системе сертификации МО сертификация осуществляется в том числе и на соответствие реальных и декларируемых в документации функциональных возможностей.
- Уровень защиты. Для разных сертификатов уровни разные. Если требуется продукт, сертифицированный по ФСТЭК, то в большинстве случаев достаточно назвать уровень секретности: совершенно секретно, ДСП и т. д. Достаточно часто заказчики не следят за изменением законодательства и называют отмененные уровни – скажем, для персональных данных просят сертифицированные продукты для первого класса.
- Что нужно защитить. Рабочие станции, файловые серверы, почтовые серверы, шлюзы – мы не шаманы и не можем угадать состав сети заказчика. Достаточно часто нам говорят: вы нам предложите, а мы сами разберемся. Почему-то заказчики считают, что все варианты защиты можно изложить в презентации на 20 минут максимум. Не получится. В результате после долгих мучений вдруг выясняется, что у заказчика (например) используется достаточно редкий почтовый сервер или операционная система – и как мы об этом можем догадаться?
- Операционная система, название почтового сервера, шлюза (с битностью, сервиспаками и т. д.). О проблемах, которые в этом отношении вызвали Профили защиты, мы еще поговорим, пока лишь скажем, что зачастую используются устаревшие операционные системы, которые уже никто не поддерживает. DOS, NT4, старые версии Линукс и т. д.
Так, ОС МСВС 3.0 имеет ряд сборок, сильно отличающихся по используемым компонентам (в том числе ядром, библиотекой glibc и версией Squid), но версия ОС – одна и та же. Поэтому перед покупкой или поставкой продукта необходимо убедиться в совместимости решений компании «Доктор Веб» с ОС МСВС 3.0. Список поддерживаемых версий ОС МСВС 3.0 находится в документации по продуктам. - Использование сертифицированных версий операционных систем, шлюзов почтовых серверов и т. д. К сожалению, не все компании, которые разрабатывают и сертифицируют ПО, работают с производителями софта, который потом будет устанавливаться на это сертифицированное ПО. Нет какого-то компонента – и все, до ближайшего инспекционного контроля ничего поделать нельзя. А инспекционный контроль недешев и небыстр.
- Использование средств, ограничивающих работу ПО. Доверенная загрузка, мандатный доступ, запрет на запуск кода из области данных – если что-либо из этого списка используется, обязательно указывайте! Скажем, сейчас достаточно часто используют доверенную загрузку. Но МО не определило в своих требованиях ее использование. В результате в сертификате о возможности работы при ее использовании – ни слова. И что делать заказчику?
А у вас есть продукт, сертифицированный под требования 152-ФЗ?
Наипопулярнейший вопрос, которым в свое время начинался, продолжался и заканчивался рабочий день.
Федеральный закон 152-ФЗ не содержит требований к продуктам и поэтому продукт сертифицировать на соответствие этому закону нельзя! Миф запустила компания Eset. Компания «Лаборатория Касперского» мгновенно выпустила опровержение. Аналогично поступил и «Доктор Веб». Но миф уже зажил своей жизнью. В результате всем компаниям прошлось получать письма от ФСТЭК, что такой-то продукт может использоваться… вплоть до К1.
Сейчас поток таких запросов сошел на нет, но я включил вопрос в список в качестве примера того, как просто создаются мифы.
Как узнать о наличии сертифицированных решений?
Полный список сертифицированных решений размещается на сайте сертифицирующей организации. Так, для Федеральной службы по техническому и экспортному контролю (ФСТЭК России) список находится в разделе «Документы по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации» (http://my-sertif.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii).
Почему вашего продукта нет в реестре?
В реестр ФСТЭК о сертифицированных СЗИ информацию вносят раз в три месяца. Скажем, следующее обновление информации о сертифицированных СЗИ будет в декабре. Таким образом, если компания получает сертификат или продлевает его – информация об этом событии может официально отсутствовать до трех месяцев.
Хочу сертифицированную версию!/Почему у вас в релизе продукт версии ххх, а сертифицирован yyy?
Сертификация – вещь не только весьма дорогая, но и весьма длительная. Для получения основных сертификатов — ФСТЭК и ФСБ – требуется никак не менее полугода. А то и восемь месяцев. При этом завершение сертификации еще не означает, что сам сертификат появится в компании, – на это тоже требуется время. Бюрократия-с.
Зачастую сертификация продукта заканчивается тогда, когда подходит к концу разработка следующей, гораздо более функциональной и эффективной версии. В итоге вполне возможна ситуация, когда пользователи сертифицированной версии получают меньшую защищенность, чем с несертифицированной версией.
Почему у вас на сайте нет сертификата для МО?
Сертификаты МО РФ не размещаются на сайте в связи с тем, что имеют статус документов ДСП. Заверенные копии этих сертификатов предоставляются по официальному запросу.
А мы нашли уязвимость! Хотим обновленную версию!
Выпуск обновленной сертифицированной версии возможен только через процедуру Инспекционного контроля. По срокам это примерно месяца три и тоже стоит немалых денег. Поэтому Инспекционный контроль в жизни сертифицированного продукта – вещь нечастая.
В свое время ФСТЭК разработала проект приказа по процедуре обновления сертифицированных продуктов, теоретически позволявших упростить эту процедуру. Но уровень проблем, привносимых документом, видимо, удивил даже привычных к нашей нормативке специалистов.
Хочу одновременно сертификат ФСТЭК и ФСБ!
Естественно, на сертификацию уходят одни и те же продукты, но есть нюансы. Скажем, продукты, сертифицированные по требованиям ФСТЭК, может поставлять практически любая компания, а обновляются они с обычных зон обновления, контролируемых вендором. А в случае ФСБ по всем вопросам, касающимся получения и обслуживания сертифицированных версий продуктов, необходимо обращаться в в/ч 43753. Правда, не так давно поставщики и в частности компания «Доктор Веб» смогли договориться о поставке через вендоров. Так, обновление сертифицированных по требованиям ФСБ продуктов, если клиент стал абонентом их портала, идет через специальные зоны, контролируемые ФСБ (если клиент купил сертифицированное ПО и не прошел процедуру согласования по обслуживанию ПО, то обновления идут с зоны вендора).
Как купить сертифицированную версию?
В случае «Доктор Веб» сертифицированные по требованиям ФСТЭК России продукты можно приобрести через авторизованных партнеров ( partners.drweb.ru/?lng=ru) компании-разработчика или через интернет-магазин ( estore.drweb.ru/home/?lng=ru). В случае «Лаборатории Касперского» приобретение возможно через партнеров ( www.kaspersky.ru/products/business/certified-version).
Сертифицированные по требованиям ФСБ России/МО РФ продукты могут поставляться вендором напрямую в рамках централизованных поставок.
Я купил сертифицированную версию, где скачать дистрибутив?
Нигде. Сертифицированные версии в интернет не выкладываются. В случае «Доктор Веб» (у иных вендоров могут быть иные правила) сама лицензия не отличается для сертифицированных и несертифицированных версий продуктов. Но, поскольку распространение в электронном виде невозможно (в случае версий под ФСТЭК – из-за того, что в комплект должна входить голографическая наклейка), в дополнение к лицензии нужно еще купить коробку с дистрибутивом и входящими в комплект документами.
Я хочу попробовать сертифицированный продукт!
Увы. В связи с проблемами, описанными в предыдущем вопросе, – официально попробовать продукт можно только купив коробку. Сама демолицензия, естественно, бесплатна. Коробку бесплатно поставить нельзя, так как это материальный носитель и бухгалтерия не поймет.
А что входит в коробку?
Комплект поставки сертифицированного по требованиям ФСТЭК или ФСБ ПО (в случае компании «Доктор Веб») включает:
Каждый экземпляр сертифицированного ПО сопровождается уникальными номерами, идентифицирующими средство защиты в соответствии с порядками, установленными для данной системы сертификации.
Поскольку качество клеящего слоя голографической наклейки не дает гарантии, что она удержится на диске в процессе его эксплуатации в CD/DVD-приводе, а отслоение наклейки может привести к различным негативным последствиям, вплоть до отказа оборудования, то она наклеивается на формуляр, что согласовано со ФСТЭК России.
Эталонные значения контрольных сумм сертифицированных версий Dr.Web заявлены в формулярах на соответствующие продукты и в открытом доступе не публикуются. Подсчет контрольных сумм осуществляется с помощью программы фиксации и контроля исходного состояния программного комплекса «Фикс» (версия 2.0.1), алгоритм «Уровень-1».
Для «Лаборатории Касперского» описание состава поставки более краткое, но в целом отличаться от аналогичной поставки «Доктор Веб» не может в силу единства правил игры ( www.kaspersky.ru/products/business/certified-version)
В случае поставки ПО, сертифицированного для МО РФ в состав поставки входят:
Может ли сертифицированное ПО обновляться?
Сами обновления производятся со специально созданных областей.
Внимание! На сертифицированное ПО нельзя устанавливать несертифицированные обновления.
Пользователь сертифицированных версий может получать обновления безопасности как автоматически, так и на CD-дисках, содержащих сертифицированные обновления (гусары, знающие примеры такого обновления в очень крупных структурах — молчать!).
Наш антивирус установлен внутри сети и не имеет выхода в интернет. Как получать обновления?
Официально – только установив снаружи сети антивирусный продукт и перенеся внутрь обновления вручную. На практике возможны варианты – вплоть до отправки баз по почте и с помощью фельдъегерской службы.
Сертифицирован ли входящий в состав вашего антивируса файрвол на соответствие соответствующим Профилям?
Профили для межсетевых экранов, разработанные ФСТЭК России ( my-sertif.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty), описывают функционал только межсетевых экранов корпоративного уровня, устанавливаемых на границе сети. Персональные файрволы, входящие в антивирусные продукты, под действие этих профилей не попадают и сертифицируются в составе антивирусных решений – и таким образом могут использоваться в качестве сертифицированных.
Могу ли я купить и использовать продукт, срок действия сертификата которого истек?
Вы можете купить любую версию продукта, в случае наличия коробок на складе. А вот официально использовать согласно правилам – нет.
В связи с тем, что на данный момент действуют так называемые «Профили антивирусной защиты», можно ли использовать продукты, ранее сертифицированные по ТУ и НДВ?
Согласно приказу ФСТЭК №240/24/3095 от 30 июля 2021 г., с 1 августа 2021 г. для антивирусного ПО устанавливается необходимость соответствия «Требованиям к средствам антивирусной защиты» (приказ ФСТЭК №28 от 20 марта 2021 г.) и утвержденным 14 июля 2021 г. «Профилям антивирусной защиты». Размещены Профили для четвертого, пятого и шестого классов на странице my-sertif.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/470-metodicheskie-dokumenty-utverzhdeny-fstek-rossii-3-fevralya-2021-g-2. Профили первого, второго и третьего классов в открытый доступ нес выкладываются.
Вместе с этим вводится новая классификация сертифицированных антивирусных программных продуктов: по назначению (А-Г) и уровню защищенности (6-1).
До этого момента никаких требований к антивирусам не существовало, и они сертифицировались на ТУ (технические условия) и НДВ (отсутствие недекларированных возможностей).
Согласно письму ФСТЭК, продукты, созданные ранее выхода профилей и имеющие сертификаты ФСТЭК (а тем более ФСБ и МО, которых приказ не касается), сохраняют свою легитимность.
Что такое сертифицированное ПО?
Сертифицированным программным обеспечением является:
- ПО, прошедшее проверку соответствия в Системе сертификации средств защиты информации в соответствии с требованиями государственных стандартов и нормативных документов по защите информации, что подтверждается Сертификатом соответствия.
ПО сертифицируется на соответствие техническим документам (РД, ТУ и т. д.) и в соответствии с параметрами, указанными в этой документации. Наиболее известными, но не единственными, сертификатами являются сертификаты ФСТЭК России, МО России и ФСБ России. - ПО, дистрибутив которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре) и (для ФСТЭК) специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.
- ПО, установленное и настроенное в соответствии с сертифицированными параметрами.
- ПО, все доработки (обновления) которого, критичные для безопасности, также подвергаются сертификационным испытаниям, до предоставления их пользователю. При выпуске обновлений и исправлений в системе безопасности сертифицированного продукта производитель обязан предоставить обновления на сертификацию и довести информацию до потребителя.
Честно скажем, что для антивируса это фантастика – естественно, обновления баз (которые, кстати, и сами по себе не сертифицируются) никто сертификационным испытаниям не подвергает. Ибо делать такую процедуру для выходящих до трех раз в час обновлений нереально. - ПО, контролируемое в процессе эксплуатации.
Сертифицированное ПО должно иметь встроенные или наложенные средства, предназначенные для выполнения требований в области контроля целостности, учета событий внедрения в ПО обновлений безопасности, контроля защищенности в процессе эксплуатации. У потребителя должны быть механизмы проверки целостности обновлений средств защиты с использованием контрольных сумм. - ПО, каждый сертифицированный экземпляр которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ представителей органов, осуществляющих контроль за сертифицированными средствами защиты, к учетной информации.
Таким образом, сертифицированным программным обеспечением является ПО, ранее прошедшее сертификацию, установленное, настроенное и сопровождаемое в соответствии с требованиями, также прошедшими сертификацию.
Применение сертифицированных средств защиты само по себе не является достаточным условием выполнения требований по безопасности конфиденциальных данных, необходимо также:
Можно ли самостоятельно сертифицировать ПО?
Можно самостоятельно сертифицировать любое выбранное СЗИ, удовлетворяющее требованиям РД. В соответствии с Положением о сертификации средств защиты информации по требованиям безопасности информации, (Приказом Председателя Гостехкомиссии России № 199 от 27.10.1995), необходимо в роли Заявителя согласовать со ФСТЭК России ЗБ, ТУ или иной определяющий требования к СЗИ документ, предоставить в Испытательную лабораторию комплект необходимой конструкторской и эксплуатационной документации, образец СЗИ, оплатить все расходы по сертификации. При этом Заявитель должен быть лицензиатом ФСТЭК и (или) ФСБ России на деятельность по разработке и производству СЗИ.
Естественно, данный список вопросов не является полным. Достаточно много вопросов связано, например, с использованием ОС Astra Linux. Но наиболее часто спрашивают именно это.
Традиционного итога подводить не буду. Единственное, что хочу сказать:
- подготавливая запрос вендору или поставщику по сертифицированным продуктам, предоставляйте как можно более полную информацию о том, где и как вы собираетесь их применять. Нюансов тут очень много;
- помните, что поставщик осуществит поставку в соответствии с вашими требованиями. И если окажется, что вы запросили не то, то проблемы будут на вашей стороне;
- заранее планируйте процедуру обновления сертифицированных продуктов. Случаи, когда к поставщику приходят за антивирусным решением в момент, когда уже все спроектировано – нередки. И не единичны случаи, когда на стороне заказчика до этого момента вопросы развертывания, обновления и управления ПО не рассматривались вовсе;
- помните, что сертифицированное ПО — по умолчанию устаревшее. Возможно, имеющее известные уязвимости.
Oracle certified associate java programmer (ocajp) — java se 11 programmer i
Имеется у Oracle и вариант сертификации для версии Java Standard Edition 11. Последовательность шагов та же, что и в случае с Java SE 8 — учим теорию до среднего уровня, потом сдаем экзамен.
Стоимость экзамена:
US$150
Темы вопросов на экзамене:
- Применение инкапсуляции
- Создание и использование методов
- Создание простых программ на Java
- Описание и использование объектов и классов
- Обработка исключений
- Технология Java и среда разработки Java
- Абстрактные классы и интерфейсы
- Повторное использование реализаций и наследование
- Понимание модулей
- Использование операторов и управляющих конструкций
- Работа с массивами Java
- Работа с примитивными типами Java и обработка строк
Кодовый номер экзамена:
1Z0-815
Продолжительность:
180 минут
Проходной результат:
63%
Требования к наличию сертификаций:
не требуется.
Количество вопросов в экзамене:Тип вопросов:
выбор вариантов ответа.
Страница экзамена:
Oracle certified associate java programmer (ocajp) — java se 8 programmer i
Первый, самый базовый уровень сертификации Java, для версии Java SE 8, предлагаемый Oracle. Охватывает все основные понятия Java-программирования, помогает упрочить понимание фундаментальных аспектов Java, а также расширить знания программирования в целом.
Получение сертификации OCAJP будет первым этапом и точкой отсчета для тех, кто желает “прокачаться”, добавив к своему резюме официальные сертификации. Наличие OCAJP показывает, что у программиста есть все необходимые навыки, чтобы стать экспертом в разработке Java (ну, по крайней мере в теории).
Oracle certified master java enterprise architect (ocmjea)
Oracle Certified Master Java Enterprise Architect (OCMJEA) — это наиболее престижная из сертификаций Java от Oracle. Ее наличие говорит о том, что у разработчика есть все необходимые навыки и знания в Java для реализации полномасштабных проектов по созданию приложений — от начальных стадий до запуска и поддержки.
Oracle certified professional java application developer (ocpjad) — java ee 7
Сертификация Oracle Certified Professional Java EE 7 Application Developer подтверждает способность программиста разрабатывать и развертывать приложения с использованием Java Enterprise Edition 7. OCPJAD хорошо подходит для фронтенд и бэкенд-разработчиков и архитекторов приложений, с как минимум средними или продвинутыми навыками использования Java EE 7. Чтобы пройти эту сертификацию, нужно сначала получить OCAJP.
Стоимость экзамена:
US$150
Темы вопросов на экзамене:
- Пакетный API
- CDI Beans
- Параллелизм
- Создание приложений Java с использованием WebSockets
- Создание веб-приложений Java с использованием JSP
- Разработка веб-приложений на Java с использованием сервлетов
- Разработка веб-приложений с использованием JSF
- Внедрение бизнес-логики с использованием EJB
- Выполнение REST-сервисов с использованием JAX-RS API
- Реализация сервисов SOAP с использованием API-интерфейсов JAX-WS и JAXB
- Архитектура Java EE 7
- Безопасность Java EE 7
- API мессенджеров Java
- Управление постоянством с использованием сущностей JPA и BeanValidation
Кодовый номер экзамена:
1Z0-900
Продолжительность:
150 минут
Проходной результат:
66%
Требования к наличию сертификаций:
OCAJP
Количество вопросов в экзамене:Тип вопросов:
выбор вариантов ответа.
Страница экзамена:
Oracle certified professional java programmer (ocpjp) — java se 11 programmer ii
Второй, профессиональный уровень сертификации для версии для версии Java Standard Edition 11. Требуется наличие первого уровня сертификации OCAJP.
Стоимость экзамена:
US$150
Темы вопросов на экзамене:
- Аннотации в Java
- Встроенные функциональные интерфейсы
- Параллелизм в Java
- Создание приложений базы данных с JDBC
- Исключения и утверждения
- Функциональные интерфейсы и лямбда-выражения в Java
- Дженерики и Коллекции
- IO (основы и NIO.2)
- Основы Java
- Java-интерфейсы
- API Java Stream
- Лямбда-операции на потоках
- Локализация
- Миграция в модульное приложение
- Безопасный кодинг в приложении Java SE
- Услуги в модульном приложении
Кодовый номер экзамена:
1Z0-816
Продолжительность:
180 минут
Проходной результат:
63%
Требования к наличию сертификаций:
OCAJP 11
Количество вопросов в экзамене:Тип вопросов:
выбор вариантов ответа.
Страница экзамена:
Oracle certified professional java programmer (ocpjp) — java se 8 programmer ii
OCPJP — это уже профессиональный уровень сертификации, который означает, что у обладателя данного сертификата есть достаточный уровень знаний и опыта в Java SE 8 для полноценного трудоустройства.
Чтобы получить OCPJP, сначала нужно сдать экзамен на предыдущую сертификацию базового уровня — OCAJP.
Стоимость экзамена:
US$150
Темы вопросов на экзамене:
- Продвинутый дизайн класса
- Создание приложений базы данных с JDBC
- Параллелизм в Java
- Исключения и утверждения
- Дженерики и коллекции
- Система ввода/вывода
- Основы Java IO (NIO.2)
- API Java Stream
- Встроенные функциональные интерфейсы
- Локализация
- Использование Java SE 8 Date/Time API
Кодовый номер экзамена:
1Z0-809
Продолжительность:
150 минут
Проходной результат:
65%
Требования к наличию сертификаций:
OCAJP 8
Количество вопросов в экзамене:Тип вопросов:
выбор вариантов ответа.
Страница экзамена:
Как получить ocajp сертификацию?
Для начала изучите Java SE 8 от начального до среднего уровня, получите стартовый практический опыт применения Java SE 8. Далее можно переходить к экзамену, после сдачи которого вы и получите сертификацию.
Стоимость экзамена:
US$150
Темы вопросов на экзамене:
- Создание и использование массивов
- Обработка исключений в Java
- Основы Java
- Использование циклов
- Использование операторов и управляющих конструкций
- Правила наследования в Java
- Преобразование типов в Java
- Работа с методами и инкапсуляцией
- Базовые и утилитные классы API JAVA
Кодовый номер экзамена:
1Z0-808
Продолжительность:
150 минут
Проходной результат:
65%
Требования к наличию сертификаций:
не требуется.
Количество вопросов в экзамене:Тип вопросов:
выбор вариантов ответа.
Страница экзамена:
Как получить сертификацию ocmjea?
Сначала нужно завершить один из нижеперечисленных курсов:
- Architect Enterprise Applications with Java EE
- Developing Applications for the Java EE 6 Platform
- Developing Applications for the Java EE 7 Platform
- Developing Applications with Java EE 6 on WebLogic Server 12c
- Java Design Patterns
- Java EE 6: Develop Business Components with JMS & EJBs
- Java EE 6: Develop Database Applications with JPA
- Java EE 6: Develop Web Services with JAX-WS & JAX-RS
- Java EE 7: New Features
- Java SE 7: Develop Rich Client Applications
- Java SE 7 Fundamentals
- Java SE 7 Programming
- Java SE 8: Programming
- Java SE 8 Fundamentals
- Object-Oriented Analysis and Design Using UML
Следом нужно сделать
Стоимость экзамена:
US$150
Темы вопросов на экзамене:
- Концепции и принципы разработки приложений
- Разработка технологий корпоративного уровня
- Общая архитектура
- Шаблоны проектирования
- Интеграция и коммуникации
- Безопасность
- Технологии разработки веб-приложений
Кодовый номер экзамена:
1Z0-807
Продолжительность:
150 минут
Проходной результат:
71%
Количество вопросов в экзамене:Тип вопросов:
выбор вариантов ответа.
Страница экзамена:
.
Далее следует выполнить задание Java (EE) Enterprise Architect Certified Master Assignment.
Стоимость:
US$150
Темы:
- Раздел 1: Дизайн приложения, концепции и принципы
- Раздел 2: Общие архитектуры
- Раздел 3: Интеграция и обмен сообщениями
- Раздел 4: Технологии бизнес-уровня
- Раздел 5: Технологии веб-уровня
- Раздел 6: Применимость технологии Java EE
- Раздел 7: Шаблоны
- Раздел 8: Безопасность
Кодовый номер экзамена:
1Z0-865
Продолжительность:
нужно завершить в течение 6-и месяцев после приобретения.
Страница задания:
.
Но и это еще не все. Последним шагом для получения этой сертификации будет написание эссе —
Кодовый номер экзамена:
1Z0-866
Продолжительность:
120 минут
Тип вопросов:
эссе
Страница экзамена:
Обзор java сертификаций от oracle
Как уже отмечалось выше, сертификаты от Oracle котируются, в первую очередь когда речь идет о Java-программистах. Поэтому дальше мы поговорим о том, какие сертификации от Oracle существуют, что они в себя включают и как их получить.
К слову, до того, как в 2021 году Sun Microsystems вместе со всеми своими активами перешла во владение Oracle, Oracle сертификации назывались сертификациями Sun.

Проверка на скрытый код
Пожалуй, самой сложной частью работы было доказать, что недекларированных возможностей нет ни в BIOS, ни на накопителях аппаратных платформ. И вот вам одна из причин, по которой сертификация – плюс для конечного пользователя.
Процедура доказательства заняла еще примерно четыре месяца: с мая по август. Эта длительность понятна. В 2021 году вредоносный код нашелся в партии микросхем, произведенных в Китае, что стоило менеджерам одного крупного бренда многих нервных клеток. Тогда о «закладках» и заговорили всерьёз.
Решающее слово досталось Дж. Броссару, который представил доклад «Аппаратный бекдоринг – это удобно» (Johnatan Brossard, Hardware Backdooring is practical) на конференции Black Hat. Впрочем, в нашем случае всё прошло довольно скучно: недостатков и уязвимостей обнаружено не было.
Проверка целостности кода, аудит сборки
Чтобы у пользователя были гарантии, что и на будущее нежелательных изменений не будет – нам по требованию ФСТЭК предстояло добавить самоконтроль целостности. Имеется в виду проверка контрольных сумм всех неизменяемых файлов и файла конфигурации, а также автоматическое восстановление конфигурации, измененной неавторизованным способом.
По требованию контролирующего органа, все события, связанные с изменениями конфигурации, теперь детально протоколируются. Администратору направляется нотификация при критических событиях безопасности (например, разнице контрольных сумм). Таким образом, несанкционированная модификация системы исключается — еще один плюс.
С аудитом сборки было связано много задач. Для контрольной сборки пришлось даже настраивать сервер, чтобы специалисты контролирующего органа сами могли убедиться: конкретные объектные файлы собираются из конкретных исходников, а бинарные файлы, в свою очередь, — из конкретных объектников. Предоставлена была и возможность зафиксировать контрольные суммы исходных файлов.
Прохождение сценариев тестирования
В сентябре 2021 года мы начали взаимодействие с испытательной лабораторией
для прохождения сертификации, в декабре лаборатория приступила к анализу предоставленного дистрибутива. Сертификация ФСТЭК была довольно скрупулезной. Проверяли не только программный код продукта и его модулей, но и базовую операционную систему. Проверка на прохождение сценариев тестирования заняла несколько месяцев. Доработки были вначале небольшими: блокирование конкретного трафика, создание оповещений о различных событиях.
Пришлось реализовать оффлайновую установку обновлений, поскольку в некоторых инсталляциях Traffic Inspector Next Generation размещается внутри закрытого от интернета периметра.
Результаты сертификации
Доработки по требованию комиссии ФСТЭК коснулись системы оповещения о событиях, протоколирования, обновления, аудита целостности.
К ноябрю 2021 года у нас была возможность опробовать решение на реальном кейсе: мы обеспечили локальную сеть ТюмГМУ единой точкой выхода в Интернет. Специалисты ИБ оценили систему оповещений и возможность через браузер управлять блокировками, получать доступ к статистике, простой интерфейс.
На сертификацию у нас ушел год. Это была большая, сложная работа, о которой мы не пожалели. Продукт полностью проверен, приведен в соответствие с требованиями. Значит ли это, что с нашим межсетевым экраном не страшны сетевые угрозы? Да, если соблюдать очевидные меры безопасности, а лучше — еще и обучать сотрудников основным принципам сетевой безопасности.
Можно много спорить о том, полезна ли сертификация конечному пользователю. Но главным нам кажется, вот что: готов ли производитель дорабатывать свой продукт? Имеет ли он ресурсы вовремя исправлять найденные недостатки? Открыт ли он для критики?
Сертификация ФСТЭК в этом контексте – тест, показывающий уровень компетенций разработчика. Мы его прошли, отчего испытываем нескрываемое удовлетворение. Мы уважаем наших конкурентов, которые также прошли это испытание — значит, у нас достойные соперники (впрочем, их единицы).
Команда «Смарт-Софт»
Сертифицированные средства защиты информации 2021
На рынке информационной безопасности России представлено большое количество отечественных и зарубежных программных и программно-аппаратных средств защиты информации (СЗИ). Многим корпоративным и государственным заказчикам сложно сориентироваться в огромном количестве маркетингового шума и самостоятельно выбрать действительно качественную и эффективную защиту. Неверный выбор средств информационной безопасности может быть чреват финансовыми и репутационными потерями.
Помочь в выборе средств защиты информации и сузить количество вариантов помогают независимые тестирования и сертификаты, в том числе государственные.
Ниже приведена сводная таблица, куда собраны и классифицированы сведения о сертифицированных средствах защиты информации из государственного реестра сертифицированных средств защиты информации ФСТЭК России № РОСС RU.0001.01БИ00 и реестра добровольной сертификации AM Test Lab, действующей с 2006 года.
Из реестра ФСТЭК мы отобрали только наиболее известные на рынке средства защиты информации и их актуальные версии.

В таблице указана информация о действующих сертификатах ФСТЭК России (номер, срок действия, версия продукта) и сертификате AM Test Lab (номер, дата выдачи, версия продукта, ссылка на подробный обзор).
В случае наличия у СЗИ обоих сертификатов его строка выделена зеленым цветом, что обозначает высокую степень доверия к данному продукту.
В таблице приведены данные из реестров по состоянию на 29 мая 2021 года.
Эпилог
В заключение хотелось бы обратиться к нашим читателям. Пишите в комментариях свое мнение по поводу сертификаций Java, имеет ли смысл их получать и, если у вас был опыт их получения, помогают ли они в трудоустройстве и профессиональном развитии.
