دوره آموزشی DevSecOps: امنیت مداوم برنامه (با زیر نویس فارسی)
دورههای آموزشی مرتبط (18 دوره)

امنیت یک نگرانی اصلی در دنیای DevOps است. فشار دائمی برای شرکتها برای حرکت سریعتر وجود دارد و تیمهای امنیتی برای همگام شدن با آزمایشها تلاش میکنند. این منجر به ظهور یک زمینه جدید شده است: DevSecOps. این دوره مفهوم DevSecOps را معرفی می کند و توضیح می دهد که چگونه یک سازمان می تواند یک برنامه DevSecOps ایجاد کند که به تیم ها کمک می کند تا امنیت را در خط لوله توسعه برنامه ادغام کنند. در مورد نقش APIها، کانتینرها، امنیت به عنوان کد و اتوماسیون، و اینکه چگونه یک چارچوب پیوسته یکپارچه و تحویل می تواند به سازمان شما کمک کند تا هر چند وقت یکبار که توسعه دهندگان می خواهند، تست های امنیتی را اجرا کند، بیاموزید. مربی تیم چیس همچنین برخی از ابزارها و منابع رایگان را برای شروع سفر DevSecOps شما معرفی می کند.

تست امنیت بخش مهمی برای اطمینان از ارائه یک راه حل کامل و ایمن به مشتریان است. خودکارسازی فرآیند میتواند اطمینان حاصل کند که آزمایش همیشه بخشی از گردش کار تحویل نرمافزار شما است و میتواند به آزمایش کمک کند تا با خطوط لوله پیوسته و تحویل (CI/CD) همگام شود. در این دوره، جیمز ویکت مفاهیم اصلی پشت تست امنیت اپلیکیشن را با دموهای عملی ابزارهای متن باز مختلف معرفی می کند. او توضیح می دهد که چگونه امنیت و DevOps با هم تطبیق می یابند، و به سرعت از راهنمایی به تمرین حرکت می کند: راه اندازی یک آزمایشگاه حمله با GauntI. او استراتژیهای آزمایشی برای برنامههای کاربردی وب، میکروسرویسها و APIها و همچنین نیازهای تخصصی خطوط لوله CI/CD را بررسی میکند. در پایان دوره، درک بهتری از تست امنیت نرم افزار و همچنین یک کتابخانه قابل استفاده مجدد از تست ها خواهید داشت که می توانید بلافاصله آن را در چرخش قرار دهید. اهداف یادگیری امنیت و DevOps تست امنیتی خودکار اولین تست امنیتی خودکار خود را با GauntIt اجرا کنید اتوماسیون حمله XSS و SQLi تست شبکه تست امنیت در خطوط لوله ادغام پیوسته/تحویل مستمر

پروژه Open Web Application Security Project (OWASP) به منظور ارائه منابع عمومی برای درک و بهبود امنیت نرم افزار شکل گرفت. لیست 10 برتر OWASP ده آسیب پذیری بزرگ نرم افزار را توصیف می کند. در این دوره، کارولین ونگ، کارشناس امنیت برنامه، مروری بر دو مورد برتر ارائه میکند: حملات تزریق و احراز هویت شکسته. نحوه عملکرد تزریق و احراز هویت شکسته را بیابید و نمونه های واقعی حملات و تأثیر آنها بر شرکت ها و مصرف کنندگان را ببینید. به علاوه، تکنیک های پیشگیری را برای جلوگیری از در معرض خطر قرار دادن برنامه ها و کاربران خود دریافت کنید.

در چند سال گذشته، امنیت اطلاعات برای همگام شدن با جنبش سریع DevOps تلاش کرده است. DevSecOps - توسعه DevOps - با در نظر گرفتن امنیت به عنوان بخشی ضروری از فرهنگ DevOps قصد دارد این مشکل را برطرف کند. این دوره به بررسی این برداشت جدید از DevOps می پردازد و مروری بر رویه ها و ابزارهایی ارائه می دهد که می توانند به شما کمک کنند امنیت را در کل خط لوله یکپارچه سازی و تحویل مداوم (CI/CD) پیاده سازی کنید. همانطور که مربی جیمز ویکت از دریچه امنیت به CI/CD نگاه می کند، خط لوله را به پنج مرحله متمایز تقسیم می کند: توسعه، ارث بردن، ساخت، استقرار و بهره برداری. همانطور که او در هر یک از این مراحل حرکت می کند، یک مرور کلی از بهترین شیوه ها و ابزارهایی ارائه می دهد که می توانند به خوبی در رویکرد زنجیره ابزار DevSecOps شما قرار بگیرند. اهداف یادگیری اهداف یک رویکرد زنجیره ابزار DevSecOps توسعه، ارث بردن، ساخت، استقرار، و ابزارهای عملیاتی حفظ اسرار با git-secrets با استفاده از بررسی وابستگی OWASP تست مشکلات وابستگی با استفاده از Retire.js گزینه هایی برای تجزیه و تحلیل ترکیب نرم افزار نگرانی های امنیتی کلیدی برای مرحله استقرار ترفندهایی برای خوشحال کردن انطباق نظارت بر پیکربندی ابر

یاد بگیرید که چگونه امنیت را در چرخه عمر توسعه نرم افزار بگنجانید. با شناسایی مشکلات رایج کد ناامن و پذیرش طرز فکر یک متخصص امنیتی، امنیت را به مراحل طراحی و ساخت خود منتقل کنید. در این دوره، معمار امنیتی فرانک مولی، درک اساسی از شیوه های کدگذاری امن را ارائه می دهد. بیاموزید که چگونه مهاجمان و خطرات خود را درک کنید و مشکلات را در مقاطع مهم در کد خود کاهش دهید، از جمله تعاملات ضخیم برنامه، مشتری و سرور. به علاوه، نحوه جلوگیری از دسترسی غیرمجاز و نشت داده ها با احراز هویت و رمزنگاری را بررسی کنید. فرانک با مروری بر امنیت در هر مرحله از چرخه عمر توسعه نرمافزار و گامهای بعدی برای تقویت وضعیت امنیتی برنامههای شما پایان میدهد. اهداف یادگیری درک مهاجمان و خطرات مستندسازی ریسک های خود مسائل مربوط به تعامل وب سرویس گیرنده و سرور مسائل مربوط به تعامل برنامه و مشتری و سرور مسائل مربوط به مجوز و رمزنگاری پیاده سازی امنیت در هر مرحله از چرخه عمر توسعه نرم افزار

در قرن بیست و یکم، هیچ کس در اهمیت امنیت سایبری تردید ندارد. مدل سازی تهدید همان جایی است که شروع می شود. مدلسازی تهدید چارچوبی برای تفکر در مورد آنچه ممکن است اشتباه باشد، و پایه و اساس هر کاری است که یک متخصص امنیتی انجام میدهد. این دوره آموزشی مروری بر چارچوب سنتی چهار سوالی برای (1) تعریف کاری که روی آن کار می کنید، (2) کشف اینکه چه چیزی ممکن است اشتباه باشد، (3) تصمیم گیری در مورد اینکه در مورد آن چه کاری انجام دهید، و (4) اطمینان از شما ارائه می دهد. کارهای درست را به روش های درست برای سیستم هایی که ارائه می کنید انجام داده اید. مربی آدام شوستاک همچنین مدل STRIDE را برای شناسایی شش نوع تهدید بررسی می کند: جعل، دستکاری، انکار، افشای اطلاعات، انکار خدمات، و افزایش امتیاز. با استفاده از یک مطالعه موردی ساده - یک سیستم صورتحساب برای سرور رسانهای که تبلیغات را ارائه میکند - آدام نحوه اعمال اصول و یافتن مشکلات امنیتی و حریم خصوصی را نشان میدهد تا توسعهدهنده بتواند پیکربندیها و کنترلهای مناسب را بهعنوان بخشی از طراحی عملیاتی و عرضه در نظر بگیرد.

مدلسازی تهدید چارچوبی برای تفکر در مورد اشتباه است. متخصصان امنیت و توسعه دهندگان نرم افزار باید مدل تهدید را در همان ابتدای کار خود یاد بگیرند، زیرا هر سیستمی را که می سازند و دفاع می کنند شکل می دهد. جعل کردن، وانمود کردن به کسی یا چیزی که نیستید، یکی از تهدیدات کلیدی برای سیستم ها است. این دوره به شما بسیاری از روشهای جعل، از جمله جعل افراد، ماشینها، سیستمهای فایل و فرآیندها را آموزش میدهد. همانطور که مربی آدام شوستاک توضیح می دهد، جعل مستلزم عوامل بسیاری است: آنچه می دانید، کی هستید، کجا هستید، چه کسی را می شناسید و موارد دیگر. جعل افراد و جعل نقش ها، جعل فرآیندها یا فضاهای فایل در یک سیستم، و جعل هویت ماشین، IP، نام و TLS وجود دارد. یادگیری نحوه و مکان این حملات به شما کمک می کند تا در حرفه خود برتر باشید و محصولات و خدمات ایمن تر ارائه دهید. اهداف یادگیری اصول احراز هویت حمله به عوامل مختلف احراز هویت جعل میزبان جعل مردم جعل فایل ها

مدلسازی تهدید به متخصصان امنیتی و توسعهدهندگان نرمافزار اجازه میدهد تا به طور فعالانه به موارد اجتنابناپذیر - هکرهایی که در تلاش برای به خطر انداختن یک سیستم هستند - در اوایل چرخه عمر پروژه رسیدگی کنند. در این دوره، آدام شوستاک دستکاری، مرحله دوم در چارچوب مدلسازی تهدید STRIDE را پوشش میدهد. دستکاری می تواند یکپارچگی انواع سیستم ها و ابزارها، از دیباگرها تا ذخیره سازی Iocal را به خطر بیندازد. در طول این دوره، آدام نحوه عملکرد تهدیدهای دستکاری مختلف و همچنین آنچه می توانید در مورد آنها انجام دهید را توضیح می دهد. بیاموزید که چگونه مهاجمان می توانند کتابخانه ها، دستگاه های اینترنت اشیا، سرویس های ابری و موارد دیگر را دستکاری کنند. اهداف یادگیری دستکاری به عنوان بخشی از STRIDE چگونه دیباگرها می توانند توسط مهاجمان مورد سوء استفاده قرار گیرند اثرات دستکاری در ذخیره سازی دستکاری در جریان داده ها دستکاری فیزیکی دستکاری در خدمات ابری اهداف پیشگیری و تشخیص

تغییرات اخیر در معماری و فناوری برنامهها، فرصتها و روشهای جدیدی را برای کار ایجاد کرده است. اما با این پیشرفت های جدید، خطرات جدیدی نیز به وجود می آید. لیست 10 برتر پروژه امنیتی برنامه وب باز (OWASP) ده آسیب پذیری بزرگی را که توسعه دهندگان و سازمان های نرم افزاری امروزی با آن مواجه هستند، توضیح می دهد. در این دوره، Caroline Wong به بررسی عمیق هفتمین و هشتمین دسته از آسیبپذیریهای امنیتی در 10 برتر OWASP-اسکریپتنویسی متقابل سایت (XSS) و deserialization ناامن میپردازد. Caroline نحوه عملکرد XSS و deserialization ناامن را پوشش میدهد و نمونههایی در دنیای واقعی ارائه میکند که نشان میدهد چگونه بر شرکتها و مصرفکنندگان به طور یکسان تأثیر میگذارند. او همچنین تکنیک هایی را به اشتراک می گذارد که می تواند به شما در جلوگیری از این نوع حملات کمک کند.

پروژه Open Web Application Security Project (OWASP) برای ارائه منابع مورد نیاز برای درک و ارتقای امنیت نرم افزار به عموم مردم شکل گرفت. لیست 10 برتر OWASP ده آسیب پذیری بزرگ را توصیف می کند. در این دوره، Caroline Wong به بررسی عمیق دستههای نهم و دهم آسیبپذیریهای امنیتی در OWASP Top 10 میپردازد: استفاده از مؤلفههایی با آسیبپذیریهای شناخته شده و ثبت و نظارت کافی. Caroline نحوه عملکرد این تهدیدها را پوشش میدهد و نمونههایی در دنیای واقعی ارائه میکند که نشان میدهد چگونه ثبت نام کافی و نظارت و استفاده از اجزای دارای آسیبپذیریهای شناخته شده میتواند بر شرکتها و مصرفکنندگان به طور یکسان تأثیر بگذارد. او همچنین تکنیک هایی را به اشتراک می گذارد که می تواند به شما در جلوگیری از حملات ناشی از این مسائل کمک کند.

همانطور که سازمان شما تکامل می یابد، شیوه های IT شما نمی توانند راکد باقی بمانند. سازمانهای در حال رشد با نگرانیهای جدید و منحصربهفرد مختلفی روبرو هستند: برنامههای قدیمی، فروشندگان متعدد و موارد دیگر. در این دوره آموزشی، یاد بگیرید که چگونه DevOps را - مجموعهای از روشهایی که ممکن است قبلاً با آنها آشنا هستید - در یک محیط سازمانی بپذیرید و مقیاس دهید. مربی Mirco Hering توضیح میدهد که چه چیزی DevOps در سطح سازمانی را منحصربهفرد میکند و چگونه میتوانید تحول خود را شروع کنید. بیاموزید که چگونه پورتفولیوی برنامه خود را تجزیه و تحلیل کنید و حداقل خوشه قابل دوام را برای پذیرش DevOps خود شناسایی کنید. نگاشت جریان ارزش و انواع مختلف ابزارهای DevOps در سطح سازمانی را کاوش کنید. به علاوه، یاد بگیرید که چگونه فروشندگان را در سفر DevOps خود بگنجانید، تحول خود را هدایت کنید، و کاری کنید که یک تیم مرکزی DevOps برای تجارت شما کار کند. اهداف یادگیری چرا DevOps در سطح سازمانی متفاوت است تجزیه و تحلیل نمونه کارها برنامه شما شناسایی حداقل خوشه زنده (MVC) ایجاد و استفاده از نقشه های جریان ارزش ابزارسازی در سطح سازمانی شامل فروشندگان در سفر DevOps شما استفاده از چرخه دمینگ الگوهای سازمانی DevOps

هیچ سازمانی - مهم نیست چقدر بزرگ یا کوچک - در برابر نقضهای امنیتی آسیبناپذیر نیست. چه چیزی همه این سیستم ها و نرم افزاری که آنها را اجرا می کند، مستعد حمله می کند؟ پروژه Open Web Application Security Project (OWASP) برای ارائه منابع عمومی برای درک خطرات کلیدی و بهبود امنیت نرم افزار شکل گرفت. و هر چند سال یکبار، فهرستی از ده آسیب پذیری امنیتی اپلیکیشن را منتشر می کنند. در این دوره، کارولین ونگ، کارشناس امنیت اپلیکیشن، مروری بر 10 برتر OWASP 2021 ارائه میکند و اطلاعاتی در مورد هر دسته آسیبپذیری، شیوع آن و تأثیر آن ارائه میکند. اگرچه هدف آن متخصصان و توسعه دهندگان امنیت فناوری اطلاعات است، هر کسی که از برنامه های کاربردی وب استفاده می کند از درک این خطرات سود می برد.

DevSecOps در حال تغییر امنیت در صنعت فناوری است - اما موفقیت آمیز آوردن امنیت در بخش DevOps خالی از چالش نیست. در این دوره مختصر ، جیمز ویکت مجموعه ای از نکات خودی را در مورد نحوه کار DevSecOps در سازمان شما ارائه می دهد. برای شروع ، جیمز دلیل اینکه چرا اغلب در سازمان ها به طور ناعادلانه کار امنیتی انجام شده است ، و همچنین اینکه چرا با اتخاذ رویکرد DevSecOps می توان باعث شد امنیت کمتر به عنوان مانعی برای تحویل سریع نرم افزار و بیشتر به یک قسمت اساسی از گردش کار تبدیل شود ، اظهارنظر کرد. او سپس انواع استراتژی های عملی را در اختیار شما قرار می دهد ، از جمله چگونگی اتصال هم تیمی های اصلی ، اعمال اتوماسیون امنیتی ، ایجاد هرج و مرج برای نتایج بهتر امنیتی ، آوردن حسابرسان به داستان DevSecOps و موارد دیگر.

STRIDE یک فریمورک محبوب برای مدلسازی تهدید است که به کارشناسان امنیتی و توسعه دهندگان نرمافزار کمک میکند تا به طور استراتژیک درباره خطر فکر کنند این دوره به I in STRIDE اشاره دارد که مخفف واگذاری اطلاعات است. میتوانید بیاموزید که چگونه محرمانه بودن دادهها، اسرار و سایر اطلاعاتی را که ذخیره میکنید را حفظ کنید و همچنین سیاستهایی را که باید برای به اشتراک گذاشتن ایمن این اطلاعات اعمال کنید، حفظ کنید. عناوین شامل مدلهای کلاسیک مانند داده در حالت استراحت و داده در حال حرکت و همچنین افشای اطلاعات در فرایندها و افشای اطلاعات در فناوریهای خاص مانند ابر، اینترنت اشیاء و موبایل و هوش مصنوعی و یادگیری ماشین است. مربی Adam Shostack همچنین عوارض جانبی محاسبات، تأثیرات فیزیکی پردازندهها و دفاعیاتی را که میتوانید برای مدیریت فرادادهها، اسرار و سایر اطلاعات حساس در سازمان خود اعمال کنید، را مرور میکند. موضوعات شامل: دسترسی مجاز فراداده در حال حرکت افشای عمدی عوارض جانبی افشا افشای در ابر رمزنگاری و سایر موارد دفاعی

امنیت اطلاعات همه یک و صفر نیست. در حالی که افراد ، فرایندها و فناوری ای که ما برای محافظت از داده های خود به آن اعتماد می کنیم بسیار مهم است ، اما مهارت های ارتباطی برای کمک به بقیه سازمانها برای درک ارزش و ضرورت این کنترل ها نیز مهم است. این دوره برای کمک به متخصصان امنیت اطلاعات جهت درک بهتر چشم انداز تجارت و همچنین یادگیری نحوه برقراری ارتباط با مفاهیم و پیشنهادهای امنیتی از نظر اصطلاحاتی که در همه مخاطبان طنین انداز است ، طراحی شده است. مربی Jerod Brennen جزئیات مربوط به مهارت های نرم افزاری برای پرورش را توضیح می دهد. نکاتی را برای تعامل با گروههای مختلف جامعه امنیت اطلاعات بزرگتر به اشتراک می گذارد. و استراتژیهای عمومی ارتباطی را شامل می شود ، از جمله چگونگی تعیین انگیزه مخاطبان. وی همچنین توضیح می دهد که چگونه یافته های تحقیق خود را برای همکاران بیان کنید ، از خلاقیت خود برای پاسخگویی به مشکلات بدون راه حل مشخص و غیره استفاده کنید.

مدیریت آسیب پذیری ممکن است دشوار باشد و درک خطرات آسیب پذیری در محیط خود برای تعیین نحوه مقابله با آنها (و به چه ترتیب) کلیدی است. برای دستیابی به این مسئله سیستم مشترک امتیازدهی آسیب پذیری (CVSS) ایجاد شد. در این دوره، معیارهای اساسی در روش CVSS و همچنین نحوه استفاده از نمرات CVSS را برای ارزیابی ریسک و تعیین اینکه چه چیزی ابتدا باید اصلاح شود، جستجو کنید. مربی Lora Vaughn در CVSS نسخه 3.1 غوطه ور میشود و ویژگیهایی را که اندازه گیری میکند، فرمول امتیازدهی و نحوه اعمال نمرات CVSS را در محیط خود بررسی میکند. وی با استفاده از مثالهای عملی، سه جنبه اساسی CVSS را مورد بررسی قرار میدهد: معیارهای پایه، زمانی و معیارهای محیطی. با پایان دادن به این دوره، شما به دانش ضروری مورد نیاز برای استفاده از نمرات CVSS برای اولویتبندی اقدامات اصلاح مجهز خواهید شد.

کانتینرها نحوه ساخت، استقرار و مدیریت برنامهها را تغییر دادهاند. اما فقط همین چند وقت پیش بود که یک آسیب پذیری یا پیکربندی غلط منجر به نقض امنیت اخبار شد. ایجاد کنترلهای امنیتی برای محافظت از برنامههای مستقر در سیستمهای ارکستراسیون مانند Kubernetes ضروری است. این دوره نحوه ایمنسازی ظروف و اکوسیستم Kubernetes را با استفاده از یک مدل پنج عاملی ساده توضیح میدهد. مربی Sam Sehgal (استراتژیست و معمار امنیتی) - ظروف و معماری فناوری Kubernetes، چرخه عمر برنامههای توسعه و استقرار برنامهها و همچنین سطح حمله و بردارها را مرور میکند. وی سپس مدل امنیتی پنج عاملی خود را برای محافظت از Kubernetes و اجزای آن معرفی میکند، و نحوه اعمال کنترلهای امنیتی بر روی طرح و کد، تصاویر و ثبتها، کانتینرها و میزبانها، برنامهها و کلاسترهای Kubernetes را نشان میدهد. موضوعات شامل: تعریف ظروف کوبرنتس چیست؟ سطح حمله و بردارها پنج عامل امنیتی ایمن سازی کد برنامه حاوی ظرف ایمن سازی تصاویر امنیت میزبان ها و محیط کار کانتینر ایمن سازی برنامه ها در Kubernetes امنیت خوشه های Kubernetes

در این قسمت از مجموعه سری Threat Modeling مدرس Adam Shostack که فریمورک مدلسازی تهدید STRIDE را پوشش میدهد، از بخشهای D و E این فریمورک عبور میکند: عدم پذیرش سرویس و ارتقا امتیاز. برای هر دو تهدید، او عمیقاً به دو سوال اصلی میپردازد: و `ما در مورد آن چه خواهیم کرد؟` او جزئیات بسیاری از اهداف حملات انکار سرویس مانند ذخیره سازی، حافظه، پهنای باند پردازنده و بودجه و نحوه افزایش امتیاز را در اساس هر کد در حال اجرا بیان میکند. او سپس روشهای ساخت یافته را برای اطمینان از مقاومت سیستمهای شما در برابر انواع مختلف حملات DoS و حملات افزایش امتیاز مورد استفاده قرار میدهد. این حملات بر همه نوع سیستمها تأثیر میگذارد و داشتن درک درستی از نحوه کار آنها و چگونگی مبارزه با آنها از قسمتهای اساسی رویکرد جامع امنیت سایبری است.