دوره آموزشی DevSecOps: امنیت مداوم برنامه (با زیر نویس فارسی)

امنیت یک نگرانی اصلی در دنیای DevOps است. فشار دائمی برای شرکت‌ها برای حرکت سریع‌تر وجود دارد و تیم‌های امنیتی برای همگام شدن با آزمایش‌ها تلاش می‌کنند. این منجر به ظهور یک زمینه جدید شده است: DevSecOps. این دوره مفهوم DevSecOps را معرفی می کند و توضیح می دهد که چگونه یک سازمان می تواند یک برنامه DevSecOps ایجاد کند که به تیم ها کمک می کند تا امنیت را در خط لوله توسعه برنامه ادغام کنند. در مورد نقش APIها، کانتینرها، امنیت به عنوان کد و اتوماسیون، و اینکه چگونه یک چارچوب پیوسته یکپارچه و تحویل می تواند به سازمان شما کمک کند تا هر چند وقت یکبار که توسعه دهندگان می خواهند، تست های امنیتی را اجرا کند، بیاموزید. مربی تیم چیس همچنین برخی از ابزارها و منابع رایگان را برای شروع سفر DevSecOps شما معرفی می کند.

تست امنیت بخش مهمی برای اطمینان از ارائه یک راه حل کامل و ایمن به مشتریان است. خودکارسازی فرآیند می‌تواند اطمینان حاصل کند که آزمایش همیشه بخشی از گردش کار تحویل نرم‌افزار شما است و می‌تواند به آزمایش کمک کند تا با خطوط لوله پیوسته و تحویل (CI/CD) همگام شود. در این دوره، جیمز ویکت مفاهیم اصلی پشت تست امنیت اپلیکیشن را با دموهای عملی ابزارهای متن باز مختلف معرفی می کند. او توضیح می دهد که چگونه امنیت و DevOps با هم تطبیق می یابند، و به سرعت از راهنمایی به تمرین حرکت می کند: راه اندازی یک آزمایشگاه حمله با GauntI. او استراتژی‌های آزمایشی برای برنامه‌های کاربردی وب، میکروسرویس‌ها و APIها و همچنین نیازهای تخصصی خطوط لوله CI/CD را بررسی می‌کند. در پایان دوره، درک بهتری از تست امنیت نرم افزار و همچنین یک کتابخانه قابل استفاده مجدد از تست ها خواهید داشت که می توانید بلافاصله آن را در چرخش قرار دهید. اهداف یادگیری امنیت و DevOps تست امنیتی خودکار اولین تست امنیتی خودکار خود را با GauntIt اجرا کنید اتوماسیون حمله XSS و SQLi تست شبکه تست امنیت در خطوط لوله ادغام پیوسته/تحویل مستمر

پروژه Open Web Application Security Project (OWASP) به منظور ارائه منابع عمومی برای درک و بهبود امنیت نرم افزار شکل گرفت. لیست 10 برتر OWASP ده آسیب پذیری بزرگ نرم افزار را توصیف می کند. در این دوره، کارولین ونگ، کارشناس امنیت برنامه، مروری بر دو مورد برتر ارائه می‌کند: حملات تزریق و احراز هویت شکسته. نحوه عملکرد تزریق و احراز هویت شکسته را بیابید و نمونه های واقعی حملات و تأثیر آنها بر شرکت ها و مصرف کنندگان را ببینید. به علاوه، تکنیک های پیشگیری را برای جلوگیری از در معرض خطر قرار دادن برنامه ها و کاربران خود دریافت کنید.

در چند سال گذشته، امنیت اطلاعات برای همگام شدن با جنبش سریع DevOps تلاش کرده است. DevSecOps - توسعه DevOps - با در نظر گرفتن امنیت به عنوان بخشی ضروری از فرهنگ DevOps قصد دارد این مشکل را برطرف کند. این دوره به بررسی این برداشت جدید از DevOps می پردازد و مروری بر رویه ها و ابزارهایی ارائه می دهد که می توانند به شما کمک کنند امنیت را در کل خط لوله یکپارچه سازی و تحویل مداوم (CI/CD) پیاده سازی کنید. همانطور که مربی جیمز ویکت از دریچه امنیت به CI/CD نگاه می کند، خط لوله را به پنج مرحله متمایز تقسیم می کند: توسعه، ارث بردن، ساخت، استقرار و بهره برداری. همانطور که او در هر یک از این مراحل حرکت می کند، یک مرور کلی از بهترین شیوه ها و ابزارهایی ارائه می دهد که می توانند به خوبی در رویکرد زنجیره ابزار DevSecOps شما قرار بگیرند. اهداف یادگیری اهداف یک رویکرد زنجیره ابزار DevSecOps توسعه، ارث بردن، ساخت، استقرار، و ابزارهای عملیاتی حفظ اسرار با git-secrets با استفاده از بررسی وابستگی OWASP تست مشکلات وابستگی با استفاده از Retire.js گزینه هایی برای تجزیه و تحلیل ترکیب نرم افزار نگرانی های امنیتی کلیدی برای مرحله استقرار ترفندهایی برای خوشحال کردن انطباق نظارت بر پیکربندی ابر

یاد بگیرید که چگونه امنیت را در چرخه عمر توسعه نرم افزار بگنجانید. با شناسایی مشکلات رایج کد ناامن و پذیرش طرز فکر یک متخصص امنیتی، امنیت را به مراحل طراحی و ساخت خود منتقل کنید. در این دوره، معمار امنیتی فرانک مولی، درک اساسی از شیوه های کدگذاری امن را ارائه می دهد. بیاموزید که چگونه مهاجمان و خطرات خود را درک کنید و مشکلات را در مقاطع مهم در کد خود کاهش دهید، از جمله تعاملات ضخیم برنامه، مشتری و سرور. به علاوه، نحوه جلوگیری از دسترسی غیرمجاز و نشت داده ها با احراز هویت و رمزنگاری را بررسی کنید. فرانک با مروری بر امنیت در هر مرحله از چرخه عمر توسعه نرم‌افزار و گام‌های بعدی برای تقویت وضعیت امنیتی برنامه‌های شما پایان می‌دهد. اهداف یادگیری درک مهاجمان و خطرات مستندسازی ریسک های خود مسائل مربوط به تعامل وب سرویس گیرنده و سرور مسائل مربوط به تعامل برنامه و مشتری و سرور مسائل مربوط به مجوز و رمزنگاری پیاده سازی امنیت در هر مرحله از چرخه عمر توسعه نرم افزار

در قرن بیست و یکم، هیچ کس در اهمیت امنیت سایبری تردید ندارد. مدل سازی تهدید همان جایی است که شروع می شود. مدل‌سازی تهدید چارچوبی برای تفکر در مورد آنچه ممکن است اشتباه باشد، و پایه و اساس هر کاری است که یک متخصص امنیتی انجام می‌دهد. این دوره آموزشی مروری بر چارچوب سنتی چهار سوالی برای (1) تعریف کاری که روی آن کار می کنید، (2) کشف اینکه چه چیزی ممکن است اشتباه باشد، (3) تصمیم گیری در مورد اینکه در مورد آن چه کاری انجام دهید، و (4) اطمینان از شما ارائه می دهد. کارهای درست را به روش های درست برای سیستم هایی که ارائه می کنید انجام داده اید. مربی آدام شوستاک همچنین مدل STRIDE را برای شناسایی شش نوع تهدید بررسی می کند: جعل، دستکاری، انکار، افشای اطلاعات، انکار خدمات، و افزایش امتیاز. با استفاده از یک مطالعه موردی ساده - یک سیستم صورت‌حساب برای سرور رسانه‌ای که تبلیغات را ارائه می‌کند - آدام نحوه اعمال اصول و یافتن مشکلات امنیتی و حریم خصوصی را نشان می‌دهد تا توسعه‌دهنده بتواند پیکربندی‌ها و کنترل‌های مناسب را به‌عنوان بخشی از طراحی عملیاتی و عرضه در نظر بگیرد.

مدل‌سازی تهدید چارچوبی برای تفکر در مورد اشتباه است. متخصصان امنیت و توسعه دهندگان نرم افزار باید مدل تهدید را در همان ابتدای کار خود یاد بگیرند، زیرا هر سیستمی را که می سازند و دفاع می کنند شکل می دهد. جعل کردن، وانمود کردن به کسی یا چیزی که نیستید، یکی از تهدیدات کلیدی برای سیستم ها است. این دوره به شما بسیاری از روش‌های جعل، از جمله جعل افراد، ماشین‌ها، سیستم‌های فایل و فرآیندها را آموزش می‌دهد. همانطور که مربی آدام شوستاک توضیح می دهد، جعل مستلزم عوامل بسیاری است: آنچه می دانید، کی هستید، کجا هستید، چه کسی را می شناسید و موارد دیگر. جعل افراد و جعل نقش ها، جعل فرآیندها یا فضاهای فایل در یک سیستم، و جعل هویت ماشین، IP، نام و TLS وجود دارد. یادگیری نحوه و مکان این حملات به شما کمک می کند تا در حرفه خود برتر باشید و محصولات و خدمات ایمن تر ارائه دهید. اهداف یادگیری اصول احراز هویت حمله به عوامل مختلف احراز هویت جعل میزبان جعل مردم جعل فایل ها

مدل‌سازی تهدید به متخصصان امنیتی و توسعه‌دهندگان نرم‌افزار اجازه می‌دهد تا به طور فعالانه به موارد اجتناب‌ناپذیر - هکرهایی که در تلاش برای به خطر انداختن یک سیستم هستند - در اوایل چرخه عمر پروژه رسیدگی کنند. در این دوره، آدام شوستاک دستکاری، مرحله دوم در چارچوب مدل‌سازی تهدید STRIDE را پوشش می‌دهد. دستکاری می تواند یکپارچگی انواع سیستم ها و ابزارها، از دیباگرها تا ذخیره سازی Iocal را به خطر بیندازد. در طول این دوره، آدام نحوه عملکرد تهدیدهای دستکاری مختلف و همچنین آنچه می توانید در مورد آنها انجام دهید را توضیح می دهد. بیاموزید که چگونه مهاجمان می توانند کتابخانه ها، دستگاه های اینترنت اشیا، سرویس های ابری و موارد دیگر را دستکاری کنند. اهداف یادگیری دستکاری به عنوان بخشی از STRIDE چگونه دیباگرها می توانند توسط مهاجمان مورد سوء استفاده قرار گیرند اثرات دستکاری در ذخیره سازی دستکاری در جریان داده ها دستکاری فیزیکی دستکاری در خدمات ابری اهداف پیشگیری و تشخیص

تغییرات اخیر در معماری و فناوری برنامه‌ها، فرصت‌ها و روش‌های جدیدی را برای کار ایجاد کرده است. اما با این پیشرفت های جدید، خطرات جدیدی نیز به وجود می آید. لیست 10 برتر پروژه امنیتی برنامه وب باز (OWASP) ده آسیب پذیری بزرگی را که توسعه دهندگان و سازمان های نرم افزاری امروزی با آن مواجه هستند، توضیح می دهد. در این دوره، Caroline Wong به بررسی عمیق هفتمین و هشتمین دسته از آسیب‌پذیری‌های امنیتی در 10 برتر OWASP-اسکریپت‌نویسی متقابل سایت (XSS) و deserialization ناامن می‌پردازد. Caroline نحوه عملکرد XSS و deserialization ناامن را پوشش می‌دهد و نمونه‌هایی در دنیای واقعی ارائه می‌کند که نشان می‌دهد چگونه بر شرکت‌ها و مصرف‌کنندگان به طور یکسان تأثیر می‌گذارند. او همچنین تکنیک هایی را به اشتراک می گذارد که می تواند به شما در جلوگیری از این نوع حملات کمک کند.

پروژه Open Web Application Security Project (OWASP) برای ارائه منابع مورد نیاز برای درک و ارتقای امنیت نرم افزار به عموم مردم شکل گرفت. لیست 10 برتر OWASP ده آسیب پذیری بزرگ را توصیف می کند. در این دوره، Caroline Wong به بررسی عمیق دسته‌های نهم و دهم آسیب‌پذیری‌های امنیتی در OWASP Top 10 می‌پردازد: استفاده از مؤلفه‌هایی با آسیب‌پذیری‌های شناخته شده و ثبت و نظارت کافی. Caroline نحوه عملکرد این تهدیدها را پوشش می‌دهد و نمونه‌هایی در دنیای واقعی ارائه می‌کند که نشان می‌دهد چگونه ثبت نام کافی و نظارت و استفاده از اجزای دارای آسیب‌پذیری‌های شناخته شده می‌تواند بر شرکت‌ها و مصرف‌کنندگان به طور یکسان تأثیر بگذارد. او همچنین تکنیک هایی را به اشتراک می گذارد که می تواند به شما در جلوگیری از حملات ناشی از این مسائل کمک کند.

همانطور که سازمان شما تکامل می یابد، شیوه های IT شما نمی توانند راکد باقی بمانند. سازمان‌های در حال رشد با نگرانی‌های جدید و منحصربه‌فرد مختلفی روبرو هستند: برنامه‌های قدیمی، فروشندگان متعدد و موارد دیگر. در این دوره آموزشی، یاد بگیرید که چگونه DevOps را - مجموعه‌ای از روش‌هایی که ممکن است قبلاً با آن‌ها آشنا هستید - در یک محیط سازمانی بپذیرید و مقیاس دهید. مربی Mirco Hering توضیح می‌دهد که چه چیزی DevOps در سطح سازمانی را منحصربه‌فرد می‌کند و چگونه می‌توانید تحول خود را شروع کنید. بیاموزید که چگونه پورتفولیوی برنامه خود را تجزیه و تحلیل کنید و حداقل خوشه قابل دوام را برای پذیرش DevOps خود شناسایی کنید. نگاشت جریان ارزش و انواع مختلف ابزارهای DevOps در سطح سازمانی را کاوش کنید. به علاوه، یاد بگیرید که چگونه فروشندگان را در سفر DevOps خود بگنجانید، تحول خود را هدایت کنید، و کاری کنید که یک تیم مرکزی DevOps برای تجارت شما کار کند. اهداف یادگیری چرا DevOps در سطح سازمانی متفاوت است تجزیه و تحلیل نمونه کارها برنامه شما شناسایی حداقل خوشه زنده (MVC) ایجاد و استفاده از نقشه های جریان ارزش ابزارسازی در سطح سازمانی شامل فروشندگان در سفر DevOps شما استفاده از چرخه دمینگ الگوهای سازمانی DevOps

هیچ سازمانی - مهم نیست چقدر بزرگ یا کوچک - در برابر نقض‌های امنیتی آسیب‌ناپذیر نیست. چه چیزی همه این سیستم ها و نرم افزاری که آنها را اجرا می کند، مستعد حمله می کند؟ پروژه Open Web Application Security Project (OWASP) برای ارائه منابع عمومی برای درک خطرات کلیدی و بهبود امنیت نرم افزار شکل گرفت. و هر چند سال یکبار، فهرستی از ده آسیب پذیری امنیتی اپلیکیشن را منتشر می کنند. در این دوره، کارولین ونگ، کارشناس امنیت اپلیکیشن، مروری بر 10 برتر OWASP 2021 ارائه می‌کند و اطلاعاتی در مورد هر دسته آسیب‌پذیری، شیوع آن و تأثیر آن ارائه می‌کند. اگرچه هدف آن متخصصان و توسعه دهندگان امنیت فناوری اطلاعات است، هر کسی که از برنامه های کاربردی وب استفاده می کند از درک این خطرات سود می برد.

DevSecOps در حال تغییر امنیت در صنعت فناوری است - اما موفقیت آمیز آوردن امنیت در بخش DevOps خالی از چالش نیست. در این دوره مختصر ، جیمز ویکت مجموعه ای از نکات خودی را در مورد نحوه کار DevSecOps در سازمان شما ارائه می دهد. برای شروع ، جیمز دلیل اینکه چرا اغلب در سازمان ها به طور ناعادلانه کار امنیتی انجام شده است ، و همچنین اینکه چرا با اتخاذ رویکرد DevSecOps می توان باعث شد امنیت کمتر به عنوان مانعی برای تحویل سریع نرم افزار و بیشتر به یک قسمت اساسی از گردش کار تبدیل شود ، اظهارنظر کرد. او سپس انواع استراتژی های عملی را در اختیار شما قرار می دهد ، از جمله چگونگی اتصال هم تیمی های اصلی ، اعمال اتوماسیون امنیتی ، ایجاد هرج و مرج برای نتایج بهتر امنیتی ، آوردن حسابرسان به داستان DevSecOps و موارد دیگر.

STRIDE یک فریمورک‌ محبوب برای مدل‌سازی تهدید است که به کارشناسان امنیتی و توسعه دهندگان نرم‌افزار کمک می‌کند تا به طور استراتژیک درباره خطر فکر کنند این دوره به I in STRIDE اشاره دارد که مخفف واگذاری اطلاعات است. می‌توانید بیاموزید که چگونه محرمانه بودن داده‌ها، اسرار و سایر اطلاعاتی را که ذخیره می‌کنید را حفظ کنید و همچنین سیاست‌هایی را که باید برای به اشتراک گذاشتن ایمن این اطلاعات اعمال کنید، حفظ کنید. عناوین شامل مدلهای کلاسیک مانند داده در حالت استراحت و داده در حال حرکت و همچنین افشای اطلاعات در فرایندها و افشای اطلاعات در فناوری‌های خاص مانند ابر، اینترنت اشیاء و موبایل و هوش مصنوعی و یادگیری ماشین است. مربی Adam Shostack همچنین عوارض جانبی محاسبات، تأثیرات فیزیکی پردازنده‌ها و دفاعیاتی را که می‌توانید برای مدیریت فراداده‌ها، اسرار و سایر اطلاعات حساس در سازمان خود اعمال کنید، را مرور می‌کند. موضوعات شامل: دسترسی مجاز فراداده در حال حرکت افشای عمدی عوارض جانبی افشا افشای در ابر رمزنگاری و سایر موارد دفاعی

امنیت اطلاعات همه یک و صفر نیست. در حالی که افراد ، فرایندها و فناوری ای که ما برای محافظت از داده های خود به آن اعتماد می کنیم بسیار مهم است ، اما مهارت های ارتباطی برای کمک به بقیه سازمانها برای درک ارزش و ضرورت این کنترل ها نیز مهم است. این دوره برای کمک به متخصصان امنیت اطلاعات جهت درک بهتر چشم انداز تجارت و همچنین یادگیری نحوه برقراری ارتباط با مفاهیم و پیشنهادهای امنیتی از نظر اصطلاحاتی که در همه مخاطبان طنین انداز است ، طراحی شده است. مربی Jerod Brennen جزئیات مربوط به مهارت های نرم افزاری برای پرورش را توضیح می دهد. نکاتی را برای تعامل با گروههای مختلف جامعه امنیت اطلاعات بزرگتر به اشتراک می گذارد. و استراتژیهای عمومی ارتباطی را شامل می شود ، از جمله چگونگی تعیین انگیزه مخاطبان. وی همچنین توضیح می دهد که چگونه یافته های تحقیق خود را برای همکاران بیان کنید ، از خلاقیت خود برای پاسخگویی به مشکلات بدون راه حل مشخص و غیره استفاده کنید.

مدیریت آسیب پذیری ممکن است دشوار باشد و درک خطرات آسیب پذیری در محیط خود برای تعیین نحوه مقابله با آنها (و به چه ترتیب) کلیدی است. برای دستیابی به این مسئله سیستم مشترک امتیازدهی آسیب پذیری (CVSS) ایجاد شد. در این دوره، معیارهای اساسی در روش CVSS و همچنین نحوه استفاده از نمرات CVSS را برای ارزیابی ریسک و تعیین اینکه چه چیزی ابتدا باید اصلاح شود، جستجو کنید. مربی Lora Vaughn در CVSS نسخه 3.1 غوطه ور می‌شود و ویژگی‌هایی را که اندازه گیری می‌کند، فرمول امتیازدهی و نحوه اعمال نمرات CVSS را در محیط خود بررسی می‌کند. وی با استفاده از مثالهای عملی، سه جنبه اساسی CVSS را مورد بررسی قرار می‌دهد: معیارهای پایه، زمانی و معیارهای محیطی. با پایان دادن به این دوره، شما به دانش ضروری مورد نیاز برای استفاده از نمرات CVSS برای اولویت‌بندی اقدامات اصلاح مجهز خواهید شد.

کانتینرها نحوه ساخت، استقرار و مدیریت برنامه‌ها را تغییر داده‌‌اند. اما فقط همین چند وقت پیش بود که یک آسیب پذیری یا پیکربندی غلط منجر به نقض امنیت اخبار شد. ایجاد کنترل‌های امنیتی برای محافظت از برنامه‌های مستقر در سیستم‌های ارکستراسیون مانند Kubernetes ضروری است. این دوره نحوه ایمن‌سازی ظروف و اکوسیستم Kubernetes را با استفاده از یک مدل پنج عاملی ساده توضیح می‌دهد. مربی Sam Sehgal (استراتژیست و معمار امنیتی) - ظروف و معماری فناوری Kubernetes، چرخه عمر برنامه‌های توسعه و استقرار برنامه‌ها و همچنین سطح حمله و بردارها را مرور می‌کند. وی سپس مدل امنیتی پنج عاملی خود را برای محافظت از Kubernetes و اجزای آن معرفی می‌کند، و نحوه اعمال کنترل‌های امنیتی بر روی طرح و کد، تصاویر و ثبت‌ها، کانتینرها و میزبانها، برنامه‌ها و کلاستر‌های Kubernetes را نشان می‌دهد. موضوعات شامل: تعریف ظروف کوبرنتس چیست؟ سطح حمله و بردارها پنج عامل امنیتی ایمن سازی کد برنامه حاوی ظرف ایمن سازی تصاویر امنیت میزبان ها و محیط کار کانتینر ایمن سازی برنامه ها در Kubernetes امنیت خوشه های Kubernetes

در این قسمت از مجموعه سری Threat Modeling مدرس Adam Shostack که فریمورک‌ مدل‌سازی تهدید STRIDE را پوشش می‌دهد، از بخش‌های D و E این فریمورک‌ عبور می‌کند: عدم پذیرش سرویس و ارتقا امتیاز. برای هر دو تهدید، او عمیقاً به دو سوال اصلی می‌پردازد: و `ما در مورد آن چه خواهیم کرد؟` او جزئیات بسیاری از اهداف حملات انکار سرویس مانند ذخیره سازی، حافظه، پهنای باند پردازنده و بودجه و نحوه افزایش امتیاز را در اساس هر کد در حال اجرا بیان می‌کند. او سپس روشهای ساخت یافته را برای اطمینان از مقاومت سیستمهای شما در برابر انواع مختلف حملات DoS و حملات افزایش امتیاز مورد استفاده قرار می‌دهد. این حملات بر همه نوع سیستم‌ها تأثیر می‌گذارد و داشتن درک درستی از نحوه کار آنها و چگونگی مبارزه با آنها از قسمتهای اساسی رویکرد جامع امنیت سایبری است.