دوستان و همراهان عزیز ، سرور اختصاصی مترجم فراز نتورک راه اندازی شد ، با توجه به api تخصصی خریداری شده برای سرور ، یه ترجمه حرفه ای تولید کرده و در اختیار شما بزرگواران قرار می دهیم
021-66416682
info@faraznetwork.ir
ورود | ثبت‌نام
دانلود کتاب آموزشی Implementing DevSecOps جلد اول

دانلود کتاب آموزشی Implementing DevSecOps جلد اول

دسته‌بندی: برچسب: تاریخ به روز رسانی: 31 خرداد 1405 تعداد بازدید: 540 بازدید

کتاب به زبان فارسی و به صورت ترجمه از منابع خارجی می باشد

تعداد صفحات کتاب : 446

پشتیبانی ایتا پشتیبانی بله پشتیبانی تلگرام

۳۰۰,۰۰۰تومان

torobpay
هر قسط با ترب‌پی: ۷۵,۰۰۰تومان
۴ قسط ماهانه. بدون سود، چک و ضامن.
snapppay
هر قسط با اسنپ‌پی: ۷۵,۰۰۰تومان
۴ قسط ماهانه. بدون سود، چک و ضامن.

بخش 1: مقدمه‌ای بر DevSecOps

 

فصل 1. مفهوم DevSecOps

  • تعریف دقیق DevSecOps و هدف از پیدایش آن

  • بررسی فلسفه DevSecOps به عنوان توسعه امن از ابتدا

  • Dev + Sec + Ops: تلفیق وظایف توسعه، امنیت و عملیات

فصل 2. سیر تحول از DevOps به DevSecOps

  • نگاهی تاریخی به DevOps و چالش‌های امنیتی آن

  • دلایل نیاز به گسترش مفهومی به DevSecOps

  • نقش DevSecOps در مقابله با تهدیدات امنیتی پیچیده امروز

  • DevSecOps به عنوان تکامل طبیعی DevOps

فصل 3. تفاوت DevSecOps با DevOps سنتی

  • مقایسه از نظر فرآیندها، مسئولیت‌ها، ابزارها و ساختار تیمی

  • نقش توسعه‌دهنده و تیم امنیت در هر مدل

  • DevOps: تمرکز بر تحویل سریع؛ DevSecOps: تحویل سریع + ایمن

  • تفاوت در رویکردهای تست، مانیتورینگ و پاسخ به رخدادهای امنیتی

فصل 4. اصول کلیدی DevSecOps

  • Automation Everywhere: خودکارسازی تمام مراحل امنیت

  • Shift Left Security: انتقال فعالیت‌های امنیتی به مراحل اولیه

  • Security as Code: تعریف امنیت به‌صورت کد

  • Continuous Security Testing: تست‌های امنیتی دائمی در خط لوله

  • Visibility و Traceability: مشاهده‌پذیری و قابلیت ردیابی کامل

  • Collaboration and Shared Responsibility: مسئولیت مشترک بین تیم‌ها

فصل 5. مزایای پیاده‌سازی DevSecOps

  • کاهش هزینه‌های اصلاح آسیب‌پذیری‌ها در مراحل پایانی

  • افزایش سرعت تحویل نرم‌افزار بدون قربانی کردن امنیت

  • بهبود کیفیت کد با بازخورد فوری از تست‌های امنیتی

  • آمادگی بیشتر برای ممیزی‌ها و تطبیق با استانداردهای بین‌المللی

  • بهبود همکاری بین تیم‌های توسعه، امنیت و عملیات

فصل 6. چالش‌های اولیه در پذیرش DevSecOps

  • مقاومت فرهنگی در تیم‌های توسعه یا امنیت

  • نبود ابزارهای مناسب یا ناآشنایی با آن‌ها

  • بار کاری مضاعف برای توسعه‌دهندگان در صورت نبود آموزش کافی

  • ایجاد هماهنگی بین فرآیندهای امنیتی و توسعه چابک

  • عدم انطباق سریع سازمان با تغییرات ساختاری و فرهنگی

فصل 7. جایگاه DevSecOps در اکوسیستم امنیت نرم‌افزار

  • پیوند DevSecOps با AppSec (امنیت نرم‌افزار کاربردی)

  • DevSecOps به عنوان راهکار امنیتی در چرخه DevOps

  • ارتباط آن با مفاهیم مدرن مانند Security by Design و Privacy by Design

  • نقش آن در زیرساخت‌های مبتنی بر Cloud، Container و Microservices

بخش 2: فرهنگ و فرآیندهای DevSecOps

 

فصل 1. ایجاد فرهنگ امنیت در تیم‌های DevOps

  • تعریف فرهنگ امنیت‌محور در تیم‌های توسعه و عملیات

  • چگونگی نهادینه کردن امنیت به عنوان مسئولیت مشترک

  • مقاومت فرهنگی در برابر امنیت و راهکارهای غلبه بر آن

  • نقش آموزش و آگاهی در ایجاد فرهنگ DevSecOps

  • معرفی مدل‌های بلوغ فرهنگی DevSecOps (مانند Gartner یا Forrester)

فصل 2. اصول «Shift Left Security» و اهمیت آن

  • تعریف مفهوم «Shift Left» و تفاوت آن با رویکرد سنتی

  • مزایای پیاده‌سازی امنیت در مراحل ابتدایی چرخه توسعه

  • نحوه تغییر فرآیندها برای تحقق Shift Left در تیم‌های Agile

  • یکپارچه‌سازی تست‌های امنیتی در مراحل اولیه توسعه

  • سنجش اثربخشی اقدامات Shift Left با شاخص‌های کلیدی عملکرد (KPIs)

فصل 3. همکاری میان تیم‌های Dev، Sec و Ops

  • حذف سیلوها (Silos) و ایجاد تیم‌های یکپارچه

  • تکنیک‌های افزایش همکاری و هم‌راستایی بین تیم‌ها

  • معرفی نقش‌های جدید مانند Security Champions

  • برگزاری جلسات مشترک DevSecOps Planning و Security Standups

  • ایجاد بازخورد دوطرفه بین تیم توسعه و تیم امنیت

فصل 4. طراحی فرآیندهای امنیتی در چرخه عمر DevOps

  • تعریف نقاط ورود امنیت در هر مرحله از SDLC

  • مهندسی سیاست‌های امنیتی به عنوان کد (Security Policy as Code)

  • مدل‌سازی فرآیندهای امنیتی با ابزارهای BPMN یا Process Mapping

  • مستندسازی فرآیندها برای Audit و انطباق (Compliance)

  • سنجش و بهینه‌سازی مستمر فرآیندهای امنیتی

فصل 5. تعریف سیاست‌های امنیتی و Governance

  • اصول طراحی سیاست‌های امنیتی در سازمان‌های DevSecOps

  • تفاوت بین سیاست‌های فنی (مثل MFA، RBAC) و سیاست‌های فرآیندی

  • نحوه پیاده‌سازی سیاست‌ها با ابزارهایی مانند OPA یا Sentinel

  • پیاده‌سازی و پایش Continuous Compliance

  • مستندسازی و اعمال Governance بر اساس استانداردهای NIST، ISO و CIS

فصل 6. مدیریت ریسک در DevSecOps

  • شناسایی و طبقه‌بندی ریسک‌های امنیتی در محیط‌های DevOps

  • ارزیابی ریسک به کمک مدل‌های معروف مانند STRIDE و DREAD

  • طراحی فرآیندهای Mitigation و Remediation خودکار

  • اجرای تحلیل تاثیر ریسک (Risk Impact Analysis)

  • ادغام مدیریت ریسک با ابزارهای CI/CD و مانیتورینگ امنیتی

فصل 7. ارزیابی بلوغ DevSecOps در سازمان

  • معرفی چارچوب‌های ارزیابی بلوغ DevSecOps

  • نحوه اجرای Gap Analysis برای تعیین سطح فعلی امنیت

  • تعریف مسیر رشد (Roadmap) برای بلوغ فرهنگ و فرآیند

  • سنجش فرهنگ امنیتی با استفاده از نظرسنجی‌ها و بازخورد تیم‌ها

  • ایجاد چرخه بازخورد (Feedback Loop) برای بهبود مستمر

بخش 3: امنیت در فاز توسعه (Secure Development)

 

فصل 1. اصول برنامه‌نویسی امن

  • تعریف و اهمیت Secure Coding

  • بررسی الگوهای رایج ضعف‌های امنیتی در کدنویسی

  • نقش استانداردهایی مانند OWASP ASVS در توسعه امن

  • مفاهیم Secure Input Handling و Output Encoding

فصل 2. بررسی آسیب‌پذیری‌های رایج در کد

  • مرور آسیب‌پذیری‌های OWASP Top 10 و کاربرد آن‌ها در DevSecOps

  • بررسی سوءاستفاده‌هایی مانند Injection، XSS، CSRF، و Insecure Deserialization

  • شناخت مسائل امنیتی مربوط به مدیریت Session و Authentication

فصل 3. استفاده از Static Application Security Testing (SAST)

  • معرفی مفهوم SAST و زمان اجرای آن در چرخه توسعه

  • مقایسه ابزارهای مختلف SAST (داخلی و Cloud-based)

  • مزایا و محدودیت‌های تحلیل ایستا در برابر تحلیل پویا

  • انتخاب ابزار مناسب SAST برای زبان‌های برنامه‌نویسی مختلف

فصل 4. ادغام SAST در چرخه توسعه و CI/CD

  • زمان‌بندی و نحوه اجرای اسکن امنیتی در مرحله توسعه

  • بررسی نحوه اتصال SAST به سیستم‌های کنترل نسخه مانند Git

  • یکپارچه‌سازی SAST با Pipelineهای CI برای اسکن خودکار Pull Requestها

فصل 5. مدیریت وابستگی‌ها و کتابخانه‌های Third-party

  • ریسک‌های امنیتی استفاده از کتابخانه‌های آماده و Frameworkها

  • بررسی ابزارهای بررسی آسیب‌پذیری در Dependencyها

  • بررسی تهدیدات ناشی از Supply Chain Attack

  • انتخاب و نگهداری از نسخه‌های امن کتابخانه‌ها

فصل 6. بررسی آسیب‌پذیری‌های مربوط به API و ارتباطات سرویس‌ها

  • امنیت در RESTful و GraphQL APIs

  • احراز هویت و مجوزدهی ایمن در APIها

  • جلوگیری از اطلاعات بیش‌ازحد در پاسخ‌ها (Overexposure)

  • بررسی تهدیدات API مانند Broken Object Level Authorization و Mass Assignment

فصل 7. مدیریت رمزها، توکن‌ها و اطلاعات حساس در کد

  • اشتباهات رایج در نگهداری کلیدها و Credentialها در مخازن کد

  • اصول جداسازی Secretها از سورس‌کد

  • سیاست‌های امن برای دسترسی به مقادیر حساس در محیط توسعه

فصل 8. کدنویسی ایمن برای محیط‌های چند زبانه و چندپلتفرمی

  • تفاوت رویکردهای امنیتی در زبان‌های مختلف (مانند Java, Python, Go, Node.js)

  • چالش‌های امنیتی در توسعه Cross-platform

  • بررسی الگوهای طراحی امن برای کدهای Client-Side و Server-Side

فصل 9. بررسی و مدیریت کدهای Open Source در پروژه‌ها

  • سیاست‌های انتخاب و بررسی امنیتی پروژه‌های متن‌باز

  • معیارهای ارزیابی امنیتی برای کتابخانه‌های متن‌باز

  • ردیابی آسیب‌پذیری‌های اعلام‌شده در پروژه‌های وابسته

بخش 4: امنیت در فاز Build و CI/CD

 

فصل 1. تهدیدات امنیتی رایج در مراحل Build و CI/CD

  • تزریق کد مخرب در مراحل Build

  • سوءاستفاده از Pipeline به‌عنوان حمله‌بردار (Pipeline as Attack Vector)

  • افشای اطلاعات حساس در متغیرهای محیطی

  • استفاده از ابزارهای غیرایمن یا مخرب در مرحله Build

فصل 2. طراحی ایمن برای CI/CD Pipelines

  • اصل least privilege برای Jobها و مراحل اجرا

  • تفکیک محیط‌ها و مجوزها برای Build، Test و Deploy

  • تعریف Policyها و گیت‌های امنیتی برای Push و Merge

  • محدودسازی دسترسی به Pipelineها و تنظیمات آن‌ها

فصل 3. بررسی امنیتی کدها در مراحل CI

  • استفاده از ابزارهای تحلیل ایستا در مرحله Build

  • جلوگیری از ورود کد ناامن با اجرای Policy Check

  • اجرای تست‌های امنیتی به‌عنوان بخشی از Pipeline

  • ارزیابی کتابخانه‌ها و پکیج‌ها در لحظه Build

فصل 4. مدیریت Secretها، Tokenها و Credentialها

  • پرهیز از نگهداری Credentialها در فایل‌ها یا کد

  • استفاده از Secret Managerها و ابزارهای امن‌سازی

  • پیاده‌سازی کنترل دسترسی برای متغیرهای حساس در Pipeline

  • بررسی نشت اطلاعات در لاگ‌های Pipeline

فصل 5. بررسی امنیت ابزارهای CI/CD

  • ارزیابی امنیت Jenkins، GitHub Actions، GitLab CI

  • تحلیل دسترسی‌ها و نقش‌ها در ابزارهای CI

  • به‌روزرسانی مداوم Pluginها و حذف ابزارهای ناامن

  • محدودسازی Job Executorها و Nodeهای اجرا کننده

فصل 6. اجرای اسکن امنیتی دینامیک در مراحل Deploy

  • معرفی مفهوم DAST (Dynamic Application Security Testing)

  • اجرای تست‌های DAST در محیط‌های Staging

  • بررسی رفتار برنامه در زمان اجرا (Runtime Analysis)

  • پیاده‌سازی تست‌های fuzzing و شبیه‌سازی حملات

فصل 7. پیاده‌سازی Pipeline‌های ایمن برای تست و انتشار

  • ساختن pipelineهای تفکیک‌شده برای مراحل مختلف چرخه عمر نرم‌افزار

  • اعمال محدودیت برای deployment به محیط production

  • تعریف گیت‌های امنیتی و تایید دستی برای انتشار نهایی

  • اعتبارسنجی Imageها و Artefactها قبل از Deploy

فصل 8. ردیابی و گزارش‌گیری امنیتی از فرآیندهای CI/CD

  • مانیتورینگ فعالیت‌های مربوط به Build و Deploy

  • نگهداری لاگ‌های امنیتی مرتبط با اجراها

  • مستندسازی رخدادهای غیرعادی یا مشکوک

  • پیاده‌سازی سیستم هشدار و اطلاع‌رسانی امنیتی

فصل 9. تست آسیب‌پذیری در Artefactها و بسته‌های خروجی

  • بررسی امنیت Imageها، باینری‌ها و بسته‌های نهایی

  • استفاده از ابزارهای تحلیل آسیب‌پذیری در Containerها

  • اسکن وابستگی‌ها و گزارش تهدیدهای شناخته‌شده

  • تعریف سیاست برای توقف Build در صورت وجود آسیب‌پذیری بحرانی

نقد و بررسی‌ها

نقد و بررسی وجود ندارد.

فقط مشتریانی که وارد سیستم شده اند و این محصول را خریداری کرده اند می توانند نظر بدهند.

تمامی حقوق برای سایت فراز نتورک محفوظ است.
سبد خرید

سبد خرید شما خالی است.

ورود به سایت