دوره آموزشی DevSecOps: تست امنیتی خودکار (با زیر نویس فارسی)

DevOps یک چارچوب یا گردش کار نیست. این فرهنگی است که بر دنیای تجارت پیشی گرفته است. DevOps همکاری و ارتباط بین مهندسان نرم افزار (Dev) و عملیات IT (Ops) را تضمین می کند. با DevOps، تغییرات سریعتر به تولید می انجامد. اشتراک منابع آسان تر است. مدیریت و نگهداری سیستم های مقیاس بزرگ آسان تر است. در این دوره، ارنست مولر و جیمز ویکت، تمرین کنندگان معروف DevOps، مروری بر جنبش DevOps، با تمرکز بر ارزش اصلی CAMS (فرهنگ، اتوماسیون، اندازه گیری و اشتراک گذاری) ارائه می دهند. آنها روشها و ابزارهای مختلفی را که یک سازمان می تواند برای انتقال به DevOps اتخاذ کند، در نظر می گیرد و اصول مدیریت پروژه چابک و ناب را بررسی می کند و اصول قدیمی مدرسه مانند ITIL، ITSM و SDLC را در DevOps می بیند. این دوره با بحث در مورد سه مستاجر اصلی DevOps - اتوماسیون زیرساخت، تحویل مداوم و مهندسی قابلیت اطمینان - و همچنین برخی منابع اضافی و نگاهی اجمالی به آینده ای که سازمانها در حال گذار از معماری ابر به سرور بدون سرور دارند، به پایان می رساند. اهداف یادگیری DevOps چیست؟ درک ارزشها و اصول اساسی DevOps انتخاب ابزارهای DevOps ایجاد فرهنگ DevOps مثبت درک چابک و لاغر ساخت خط انتقال مداوم ایجاد سیستم های قابل اعتماد نگاهی به آینده DevOps

با خودکارسازی مدیریت پیکربندی، می‌توانید سیستم‌های سازمان خود را قابل اعتمادتر، فرآیندها را تکرارپذیرتر کنید و ارائه سرور را کارآمدتر کنید. در این دوره، اصول زیرساخت را به عنوان کد یاد بگیرید، از جمله اینکه چگونه پیکربندی خود را در یک مخزن منبع نگه دارید و آن را مانند یک برنامه ساخته و اجرا کنید. کشف کنید که چگونه می توان سیستم های خود را به طور کامل خودکار تبدیل کرد - از پیکربندی سرور گرفته تا نصب برنامه و هماهنگ سازی زمان اجرا. تمرین‌کنندگان معروف DevOps، ارنست مولر و جیمز ویکت، به مفاهیم کلیدی می‌پردازند و از طیف گسترده‌ای از ابزارها برای نشان دادن این مفاهیم استفاده می‌کنند، از جمله Chef، CloudFormation، Docker، Kubernetes، Lambda و Rundeck. پس از اتمام این دوره، دانش لازم برای شروع پیاده سازی زیرساخت به عنوان استراتژی کد را خواهید داشت. اهداف یادگیری تست زیرساخت شما رفتن از کد زیرساخت به مصنوعات واحد در حال تست کد زیرساخت شما ایجاد سیستم از مصنوعات شما نمونه سازی زیرساخت خود از یک مدل تعریف شده تامین با CloudFormation استقرار غیرقابل تغییر با Docker ارکستراسیون کانتینری با Kubernetes

می‌توانید زیرساخت‌ها را با استفاده از Chef به کد تبدیل کنید - یک پلتفرم قدرتمند که راه‌حل‌های اتوماسیون، یک کیت توسعه و موارد دیگر را ارائه می‌کند. این دوره نحوه استفاده از معماری و ابزار Chef را برای ساده سازی و خودکارسازی مدیریت پیکربندی توضیح می دهد. نحوه نصب Chef، پیکربندی تنظیمات و موارد دیگر را بیاموزید. به رابین بک بپیوندید تا به شما نشان دهد چگونه از دستور العمل ها و کتاب های آشپزی استفاده کنید، سرور آشپز را مستقر کنید و زیرساخت های خود را با مدیریت چندین گره و رفع وابستگی ها در مقیاس کامل انجام دهید. اهداف یادگیری مدیریت پیکربندی با استفاده از آشپز نصب کیت توسعه سرآشپز (ChefDK) ارائه یک نمونه CentOS استفاده از دستور العمل ها و کتاب آشپزی آپاچی کار با گره ها و اشیاء گره استفاده از قالب ها و روبی تعبیه شده میزبانی سرور آشپز تهیه گره ها با AWS آزمایش استقرار با آشپزخانه کاوش در سوپرمارکت سرآشپز حل وابستگی ها با Berkshelf کار با نقش های سرور، محیط ها و کیسه های داده

مفاهیم، مهارت ها و تکنیک های ضروری برای مدیریت امنیت شبکه و پزشکی قانونی را کاوش کنید. در این دوره، Jungwoo Ryoo نحوه بهبود امنیت شبکه و پزشکی قانونی را با استفاده از داده ها توضیح می دهد. او با بررسی موارد ضروری مانند فایروال ها، VPN ها و سیستم های مدیریت آسیب پذیری شروع می کند. در مرحله بعد، او منابع مختلف داده را بررسی می کند و توضیح می دهد که چگونه داده های منابع مختلف می توانند ابزار قدرتمندی برای افزایش امنیت شبکه شما باشند. Jungwoo همچنین تکنیک ها و ابزارهای جمع آوری داده های شبکه و یادگیری ماشینی و تجسم را برای پردازش داده های شبکه و تشخیص ناهنجاری ها پوشش می دهد. اهداف یادگیری شناسایی اهداف امنیت شبکه تشخیص انواع فایروال ها سیستم های تشخیص نفوذ و پیشگیری را توضیح دهید. ضبط بسته را توضیح دهید. داده های ردیابی بسته، IDS و IPS را جمع آوری کنید. نحوه استفاده از یادگیری ماشینی برای پردازش داده های شبکه را توضیح دهید. از علم داده برای انجام تحقیقات پزشکی قانونی شبکه استفاده کنید. اهداف و ابزارهای تجسم داده را شناسایی کنید.

Puppet مجموعه ای قدرتمند از ابزارها برای مدیریت خودکار زیرساخت شما به طوری که همیشه در حالت دلخواه باشد. با این ابزار، کار مدیریت سرور آسان‌تر و سریع‌تر می‌شود و سیستم‌های شما قابل اعتمادتر می‌شوند. در این دوره، مربی جاش ساموئلسون با آموزش جدیدترین بهترین شیوه‌ها برای استفاده از Puppet در یک محیط واقعی شروع می‌کند و با استفاده از ماژول‌های Puppet موجود نوشته شده و پشتیبانی شده توسط جامعه، شما را به سرعت شروع می‌کند. با پیشرفت در دوره، می توانید جزئیات نحوه عملکرد Puppet را بیاموزید و نحوه نوشتن کد Puppet خود را بیاموزید، از جمله یک ماژول ساده که می تواند با سایر متخصصان فناوری اطلاعات در Puppet Forge به اشتراک گذاشته شود. اهداف یادگیری Puppet چیست؟ راه اندازی Puppet Master and Control Repo استفاده از انواع منابع داخلی سازماندهی کد با نقش ها و پروفایل ها مدیریت گره های بیشتر اقدامات تحریک کننده (ارکستراسیون) جمع آوری اطلاعات سیستم با فاکتور ماژول های نوشتن با استفاده از قالب ها

مهندسی قابلیت اطمینان سایت (SRE) یک پارادایم در حال ظهور در DevOps است. بزرگ‌ترین نام‌های فناوری - شرکت‌هایی مانند گوگل، نتفلیکس، مایکروسافت و لینکدین- همگی از SRE استفاده می‌کنند. در واقع، در سراسر صنعت، "مهندس قابلیت اطمینان سایت" جایگزین "مهندس DevOps" در پست های شغلی می شود. به زبان ساده، SRE مهندسی نرم‌افزاری است که برای عملیات استفاده می‌شود - برای عصر بومی ابر. این دوره اصول مهندسی قابلیت اطمینان سایت را معرفی می کند، از جمله اینکه چگونه SRE در DevOps قرار می گیرد و چگونه می توان آن را در محیط تجاری منحصر به فرد شما ادغام کرد. مربیان ارنست مولر و جیمز ویکت، زمینه‌های اصلی تخصص، از جمله مهندسی انتشار، مدیریت تغییر، مدیریت حوادث و بررسی‌های گذشته، اتوماسیون سلف سرویس، عیب‌یابی، عملکرد، و ناملایمات عمدی را پوشش می‌دهند. بیاموزید که چگونه قابلیت اطمینان را از طریق SLA و SLO تعریف کنید، بحران را مدیریت کنید، سیستم های توزیع شده را طراحی کنید و سیستم ها و تیم خود را مقیاس بندی کنید. به‌علاوه، استراتژی‌های مدیریت زمان و پروژه را بررسی کنید که بشریت را به شغل SRE بازگرداند. اهداف یادگیری اصول مهندسی قابلیت اطمینان سایت مهندسی انتشار مدیریت تغییر مدیریت حوادث پس از مرگ عیب یابی طراحی توزیع شده سازمان

با Kubernetes میکروسرویس های مقیاس پذیر و قابل اعتماد بسازید. Kubernetes یک ابزار DevOps محبوب برای مدیریت کانتینرها در مقیاس است. میکروسرویس‌ها به توسعه‌دهندگان اجازه می‌دهند تا اجزای برنامه جداگانه را مستقر کنند و یکپارچگی مداوم و افزایش تحمل خطا را ممکن می‌سازد. این دوره نحوه ترکیب این فناوری‌ها را آموزش می‌دهد که در یک برنامه میکروسرویس در دنیای واقعی میزبانی شده در محیط Kubernetes به اوج خود می‌رسد. مربی Karthik Gaekwad مزایای میکروسرویس ها را توصیف می کند و نشان می دهد که چگونه می توان آنها را در پارادایم معماری مبتنی بر کانتینر پیاده سازی کرد. او با استفاده از یک برنامه یکپارچه موجود، عملکرد آن را تجزیه می‌کند، ساختارهای Kubernetes را اضافه می‌کند و سرویس‌های جدید را در محیط Kubernetes با Minikube استقرار می‌دهد. در نهایت، Karthik ابزارهایی مانند Helm و Jaeger را معرفی می کند که در کنار Kubernetes برای ساخت میکروسرویس های انعطاف پذیرتر استفاده می شوند. اهداف یادگیری میکروسرویس 101 الگوهای طراحی برای میکروسرویس ها نمونه برنامه میکروسرویس گزینه های استقرار پروکسی سرویس معیارهای ورود به سیستم

Nagios یک راه حل استاندارد صنعتی و منبع باز است که Nagios را به یک انتخاب عالی برای شروع نظارت و مدیریت شبکه تبدیل می کند. در این دوره با مربی و مهندس DevOps، جاش ساموئلسون، نحوه استفاده از Nagios را برای نظارت بر سلامت سیستم و به دست آوردن هوش عملی در مورد زیرساخت فناوری اطلاعات خود بیاموزید. جاش نحوه راه اندازی سرور Nagios، استفاده از افزونه ها و پیکربندی نظارت از طریق خط فرمان را نشان می دهد. او نحوه تنظیم هشدارهای سفارشی و تولید نمودارهای داده های خود را برای بینش جامع تر توضیح می دهد. به علاوه، نحوه ادغام PagerDuty را برای مدیریت برنامه زمان‌بندی و تشدید تماس‌ها و مدیریت هشدارها از راه دور بیاموزید. اهداف یادگیری پیکربندی Nagios نظارت بر سرور استفاده از nagiosgraph برای تجسم داده های نظارتی تنظیم هشدارهای سفارشی ادغام PagerDuty با Nagios

نظارت یک حوزه عملی کلیدی در عملیات مدرن است. در این دوره، تکنیک‌ها و ابزارهای نظارت بر روی ذهنیت DevOps را بررسی کنید. مربیان ارنست مولر و پکو کارایانف توضیح می‌دهند که نظارت چیست، چه چیزی در مورد رویکرد DevOps برای نظارت منحصر به فرد است، و چگونه سیستم خود را مدل کنید تا نظارت در زمینه منطقی باشد. در مرحله بعد، آنها انواع مختلف ابزار نظارت، از جمله نحوه اجرای نظارت مصنوعی، نظارت کاربر نهایی، نظارت بر سیستم و نظارت بر شبکه را بررسی می‌کنند. آنها همچنین بهترین شیوه‌های معماری سیستم‌های قابل مشاهده را پوشش می‌دهند و نحوه غلبه بر موانع رایج را به اشتراک می‌گذارند. اهداف یادگیری نظارت چیست؟ درک رویکرد DevOps برای نظارت انواع ابزار دقیق مانیتورینگ پیاده سازی نرم افزار مانیتورینگ متریک اجرای مانیتورینگ اپلیکیشن اجرای پایش گزارش تجسم نمایشگرهای خود مدیریت چالش های رایج نظارت

تیم های Lean چابک و متنوع هستند. آنها شامل مدیران محصول، توسعه دهندگان و متخصصان عملیات می شوند که ممکن است فقط برای مدت کوتاهی با هم کار کنند. چگونه افرادی را که چنین نقش های متفاوتی بازی می کنند مدیریت می کنید و آنها را به سمت یک هدف مشترک متحد می کنید؟ در این دوره، Jez Humble نکاتی را برای ایجاد تیم های محصول با عملکرد بالا ارائه می دهد. او نقاط قوت رویکردهای Taylorist در مقابل مدیریت Lean را مقایسه می‌کند، توضیح می‌دهد که چگونه فرهنگ به تیم‌های با عملکرد بالا کمک می‌کند، و یک مطالعه موردی مستند از یک شرکت که فرهنگ را برای بهتر شدن تغییر می‌دهد، معرفی می‌کند. به علاوه، یاد بگیرید که چگونه عملکرد را بهبود ببخشید و اصول تیم های با عملکرد بالا را به عنوان اصول خود بپذیرید.

اصول Lean - که حول محور سخت‌تر و کارآمدتر کردن فرآیندها هستند - می‌توانند به تیم‌ها کمک کنند تا در صنایع مختلف از جمله فناوری هوشمندتر کار کنند. در این دوره کوتاه، یاد بگیرید که چگونه در هنگام رسیدگی به فرآیندهای تعریف شده، انطباق، ریسک و سایر نگرانی ها، شیوه های Lean و agile را اتخاذ کنید. جوآن مولسکی در مورد برخی از مرزهایی که ممکن است با آنها روبرو شوید، مانند تعهدات نظارتی صحبت می کند. او همچنین به شما کمک می‌کند تا برخی از زبان‌های مربوط به حاکمیت، ریسک و انطباق (GRC) را درک کنید. توضیح می دهد که چگونه مسئولیت انطباق را در سراسر سازمان خود به اشتراک بگذارید. و چگونگی ایجاد بازخورد سریعتر در مورد ریسک و انطباق را مورد بحث قرار می دهد.

مدیریت Lean بر ایجاد قابلیت های سازمان شما، نوآوری در روش های کاری و بهبود کیفیت نتایج کسب و کار شما تمرکز دارد. اصول Lean می توانند در انواع صنایع مختلف کمک کنند - از جمله فناوری، جایی که اثربخشی و کارایی در اولویت قرار دارد. در این دوره مختصر، یاد بگیرید که چگونه از استراتژی های Lean برای شروع تحول کسب و کار خود استفاده کنید. مربی بری اوریلی در مورد کاتای بهبود بحث می کند و توضیح می دهد که چگونه می توان از آن برای مقابله با مشکلات در یک سازمان و کسب مزیت رقابتی استفاده کرد. او همچنین نحوه رهبری و مقیاس ابتکارات تحول خود را به اشتراک می گذارد.

بینش بهتری در مورد عملکرد back-end خود دریافت کنید - چه برنامه های شما در سایت اجرا شوند یا در فضای ابری. StatsD، Graphite و Grafana سه ابزار منبع باز محبوب هستند که برای جمع آوری و تجسم معیارها در مورد سیستم ها و برنامه ها استفاده می شوند. این دوره نحوه استفاده ترکیبی از آنها را نشان می دهد تا از قطعی ها مطلع شوید، مشکلات مربوط به عملکرد پایگاه داده و سرور را تشخیص دهید و تجربه کاربری خود را بهینه کنید. مربی Laura Stone - یک مهندس قابلیت اطمینان سایت در سطح بالا - توضیح می دهد که چگونه می توان معیارهای خاص برنامه را با StatsD جمع آوری کرد، این معیارها را به طور موثر با Graphite ذخیره کرد و این اطلاعات را با Grafana نظارت و به زیبایی تجسم کرد. برای یادگیری نحوه نصب، پیکربندی و استفاده از این ابزارها برای ایجاد داشبوردهای آموزنده و مفیدی که بینش‌هایی را در مورد برنامه‌ها و سیستم‌های متعدد ارائه می‌دهند، آشنا شوید - درک شما را از عملکرد و ارزش تجاری معماری سازمانتان عمیق‌تر می‌کند. اهداف یادگیری نصب و پیکربندی StatsD جمع آوری معیارهای برنامه با StatsD راه اندازی Graphite و پایگاه داده Graphite-web جمع آوری معیارها با گرافیت نصب گرافانا ایجاد داشبورد با Grafana استفاده از گرافیت و گرافانا با هم

در چند سال گذشته، امنیت اطلاعات برای همگام شدن با جنبش سریع DevOps تلاش کرده است. DevSecOps - توسعه DevOps - با در نظر گرفتن امنیت به عنوان بخشی ضروری از فرهنگ DevOps قصد دارد این مشکل را برطرف کند. این دوره به بررسی این برداشت جدید از DevOps می پردازد و مروری بر رویه ها و ابزارهایی ارائه می دهد که می توانند به شما کمک کنند امنیت را در کل خط لوله یکپارچه سازی و تحویل مداوم (CI/CD) پیاده سازی کنید. همانطور که مربی جیمز ویکت از دریچه امنیت به CI/CD نگاه می کند، خط لوله را به پنج مرحله متمایز تقسیم می کند: توسعه، ارث بردن، ساخت، استقرار و بهره برداری. همانطور که او در هر یک از این مراحل حرکت می کند، یک مرور کلی از بهترین شیوه ها و ابزارهایی ارائه می دهد که می توانند به خوبی در رویکرد زنجیره ابزار DevSecOps شما قرار بگیرند. اهداف یادگیری اهداف یک رویکرد زنجیره ابزار DevSecOps توسعه، ارث بردن، ساخت، استقرار، و ابزارهای عملیاتی حفظ اسرار با git-secrets با استفاده از بررسی وابستگی OWASP تست مشکلات وابستگی با استفاده از Retire.js گزینه هایی برای تجزیه و تحلیل ترکیب نرم افزار نگرانی های امنیتی کلیدی برای مرحله استقرار ترفندهایی برای خوشحال کردن انطباق نظارت بر پیکربندی ابر

مدل‌سازی تهدید چارچوبی برای تفکر در مورد اشتباه است. متخصصان امنیت و توسعه دهندگان نرم افزار باید مدل تهدید را در همان ابتدای کار خود یاد بگیرند، زیرا هر سیستمی را که می سازند و دفاع می کنند شکل می دهد. جعل کردن، وانمود کردن به کسی یا چیزی که نیستید، یکی از تهدیدات کلیدی برای سیستم ها است. این دوره به شما بسیاری از روش‌های جعل، از جمله جعل افراد، ماشین‌ها، سیستم‌های فایل و فرآیندها را آموزش می‌دهد. همانطور که مربی آدام شوستاک توضیح می دهد، جعل مستلزم عوامل بسیاری است: آنچه می دانید، کی هستید، کجا هستید، چه کسی را می شناسید و موارد دیگر. جعل افراد و جعل نقش ها، جعل فرآیندها یا فضاهای فایل در یک سیستم، و جعل هویت ماشین، IP، نام و TLS وجود دارد. یادگیری نحوه و مکان این حملات به شما کمک می کند تا در حرفه خود برتر باشید و محصولات و خدمات ایمن تر ارائه دهید. اهداف یادگیری اصول احراز هویت حمله به عوامل مختلف احراز هویت جعل میزبان جعل مردم جعل فایل ها

DevSecOps در حال تغییر امنیت در صنعت فناوری است - اما موفقیت آمیز آوردن امنیت در بخش DevOps خالی از چالش نیست. در این دوره مختصر ، جیمز ویکت مجموعه ای از نکات خودی را در مورد نحوه کار DevSecOps در سازمان شما ارائه می دهد. برای شروع ، جیمز دلیل اینکه چرا اغلب در سازمان ها به طور ناعادلانه کار امنیتی انجام شده است ، و همچنین اینکه چرا با اتخاذ رویکرد DevSecOps می توان باعث شد امنیت کمتر به عنوان مانعی برای تحویل سریع نرم افزار و بیشتر به یک قسمت اساسی از گردش کار تبدیل شود ، اظهارنظر کرد. او سپس انواع استراتژی های عملی را در اختیار شما قرار می دهد ، از جمله چگونگی اتصال هم تیمی های اصلی ، اعمال اتوماسیون امنیتی ، ایجاد هرج و مرج برای نتایج بهتر امنیتی ، آوردن حسابرسان به داستان DevSecOps و موارد دیگر.

انکار - مرحله سوم در چارچوب مدل سازی تهدید STRIDE - شامل پذیرش یا انکار مسئولیت است. در مورد سرقت هویت ، انکار این مسئله هنگامی مطرح می شود که قربانیان درگیر شدن در اتهامات مجرمان را انکار کنند. این تهدیدها بر انواع سیستم ها تأثیر می گذارد و متخصصان و توسعه دهندگان امنیتی باید نحوه کار آنها را بفهمند و اینکه چگونه می توانند اطمینان حاصل کنند که سیستم هایشان دفاعی ارائه می دهد که به طور دقیق مسئولیت را نشان می دهد. در این قسمت از مجموعه مدل سازی تهدید ، آدام شوستاک عمیقاً به موضوع انکار می پردازد. آدام با استفاده از مثال های عملی ، موارد کلاهبرداری ، سرقت هویت ، حمله به سیاهههای مربوط و انکار در فناوری های خاص مانند بلاکچین و ابر را پوشش می دهد. موضوعات مورد بحث عبارتند از: - پیام و انکار عملیاتی - تقلب ، از جمله تصاحب حساب - سرقت هویت ، از جمله جعل عمیق و شبیه سازی صدا - حمله به سیاهههای مربوط - انکار در هوش مصنوعی ، یادگیری ماشین و بلاکچین - اعمال دفاعی رمزنگاری

Elastic Stack (که قبلاً با عنوان ELK Stack شناخته می‌شد) مجموعه‌ای قدرتمند از ابزارهای منبع باز برای مدیریت و معنا‌سازی داده‌های پیچیده است. با استفاده از Elastic Stack ، داده‌ها را به راحتی جستجو می‌کنید، تجسم می‌کنید و پردازش می‌کنید، همچنین داده‌های ورود به سیستم را متمرکز می‌کنید تا سریع مسائل را ریشه کن کنید. در این دوره، Josh Samuelson مهندس DevOps به شما کمک می‌کند تا با Elastic Stack شروع به کار کنید تا بتوانید از این ابزارها بهره مند شوید. او به جای اینکه هر ویژگی را پوشش دهد، بر روی مواردی که برای شروع باید بدانید متمرکز می‌شود تا بتوانید به تنهایی از کاوش این ابزارها اطمینان حاصل کنید. و همچنین نحوه دستیابی به یک نصب معمولی را کشف کنید که چرا Elastic Stack می‌تواند یک افزودنی هوشمند به محیط شما باشد. به علاوه، با عناصر مختلف پشته، از جمله Logstash، Beats و Kibana آشنا شوید.