امنیت اپلیکیشن - راهنمای کامل

آنچه یاد خواهید گرفت:

• یاد بگیرید چگونه به یک قهرمان امنیت اپلیکیشن تبدیل شوید.
• OWASP Top 10 چیست و چگونه در برابر آن آسیب‌پذیری‌ها دفاع کنید.
• استفاده از مدل‌سازی تهدید برای شناسایی تهدیدها و کاهش اثر در ویژگی‌های توسعه
• چگونه یک مدل تهدید را روی یک برنامه اجرا کنیم؟
  چگونه یک اسکن آسیب‌پذیری روی یک برنامه اجرا کنیم؟
• رتبه‌بندی آسیب‌پذیری‌های امنیتی با استفاده از فرآیندهای استاندارد و باز
• چگونگی اصلاح آسیب‌پذیری‌های امنیتی رایج در کد
• چگونه امنیت اپلیکیشن در یک برنامه کلی امنیت سایبری جای می‌گیرد.
• ساخت امنیت در چرخه حیات توسعه نرم‌افزار

پیش‌نیازهای دوره

• دانش پایه برنامه‌نویسی
• درک سیستم‌های IT و نحوه استقرار نرم‌افزار در محیط‌های عملیاتی

توضیحات دوره

هر شرکتی یک شرکت نرم‌افزاری است و ایمن‌سازی اپلیکیشن‌ها دشوارتر می‌شود.

در عصری که تهدیدات سایبری همواره در حال تحول و به‌طور فزاینده‌ای پیچیده هستند، ایمن‌سازی اپلیکیشن‌ها از پایه ضروری‌تر از همیشه است. این دوره یک دوره قوی و همه‌جانبه است که برای تجهیز توسعه‌دهندگان نرم‌افزار و متخصصان امنیت به دانش و ابزارهای لازم برای محافظت از اپلیکیشن‌هایشان در طول کل چرخه حیات توسعه نرم‌افزار (SDLC) طراحی شده است.

این دوره با معرفی مفاهیم بنیادی امنیت مانند «دفاع در عمق» (Defense in Depth) آغاز می‌شود، جایی که ما آناتومی حملات، از جمله آسیب‌پذیری‌ها، اکسپلویت‌ها و پی‌لودها را با استفاده از مثال‌های دنیای واقعی مانند آسیب‌پذیری «PrintNightmare» بررسی می‌کنیم. ما نحوه پیاده‌سازی لایه‌های متعدد امنیتی را برای ساخت یک استراتژی دفاعی جامع در برابر این تهدیدات بررسی خواهیم کرد. با پیشرفت شرکت‌کنندگان، آن‌ها درک عمیقی از اصول امنیتی ضروری، از جمله محرمانگی، یکپارچگی و در دسترس بودن (CIA)، در کنار شیوه‌های کلیدی برای مدیریت احراز هویت، اعطای مجوز و مدیریت سشن به دست خواهند آورد.

بخش قابل توجهی از دوره به چالش‌های مدرن در امنیت اپلیکیشن، مانند امنیت API اختصاص دارد. شرکت‌کنندگان یاد خواهند گرفت که چگونه رابط‌های برنامه‌نویسی اپلیکیشن (APIها) در وب اپلیکیشن‌ها عمل می‌کنند، ریسک‌هایی که ایجاد می‌کنند چیست و استراتژی‌های ایمن‌سازی موثر آن‌ها کدامند. این شامل بررسی عمیق استانداردها و چارچوب‌های صنعتی مانند OWASP Top 10 است که بحرانی‌ترین ریسک‌های امنیتی برای وب اپلیکیشن‌ها در حال حاضر را برجسته می‌کند. ما ظرافت‌های پیاده‌سازی کنترل‌های امنیتی قوی، متدولوژی‌های رتبه‌بندی ریسک مانند موارد NIST ،FAIR ،OWASP و CIS RAM و چگونگی توسعه و اجرای این کنترل‌ها برای مقابله با تهدیدات امنیتی مختلف را بررسی خواهیم کرد.

شرکت‌کنندگان همچنین به موضوعات پیشرفته‌ای مانند امنیت زنجیره تامین نرم‌افزار خواهند پرداخت و یکپارچگی نرم‌افزار را از توسعه تا دیپلوی تضمین می‌کنند. این دوره طیف کامل مدیریت آسیب‌پذیری، از شناسایی و ارزیابی تا اصلاح و گزارش‌دهی را پوشش می‌دهد و مهارت‌های مورد نیاز برای حفظ امنیت و یکپارچگی سیستم‌های IT را به‌صورت مداوم به شرکت‌کنندگان ارائه می‌دهد.

بررسی کاملی از تکنیک‌های رمزنگاری (Cryptographic)، از جمله هشینگ، رمزنگاری (هم متقارن و هم نامتقارن) و استفاده از گواهی‌های دیجیتال و زیرساخت کلید عمومی (PKI) ارائه خواهد شد تا اطمینان حاصل شود که شرکت‌کنندگان می‌توانند به‌طور موثر از داده‌های حساس محافظت کرده و ارتباطات را ایمن کنند. ما JSON Web Tokens (JWTs) ،JSON Web Encryption (JWE) و JSON Web Signatures (JWS) را پوشش خواهیم داد تا نشان دهیم چگونه این فناوری‌ها برای ایمن‌سازی انتقال داده‌ها در وب اپلیکیشن‌ها استفاده می‌شوند.

با پیشرفت دوره، شرکت‌کنندگان ادغام حیاتی امنیت در فرآیند DevOps را که به نام DevSecOps شناخته می‌شود، بررسی خواهند کرد. در اینجا، ما بر اهمیت جاسازی شیوه‌های امنیتی در مراحل اولیه و به‌صورت مداوم در طول چرخه حیات توسعه تأکید می‌کنیم. ما امنیت پایپ‌لاین‌های ادغام مداوم و دیپلوی مداوم (CI/CD) را بررسی خواهیم کرد و می‌فهمیم که چگونه این فرآیندها را در برابر دسترسی غیرمجاز، دستکاری کد و سایر تهدیدات ایمن کنیم. شرکت‌کنندگان یاد خواهند گرفت که ابزارهای تست امنیت، از جمله تست امنیت اپلیکیشن استاتیک (SAST)، تست امنیت اپلیکیشن دینامیک (DAST)، تست امنیت اپلیکیشن تعاملی (IAST)، محافظت خودکار اپلیکیشن در ران‌تایم (RASP)، فایروال‌های وب اپلیکیشن (WAF) و موارد دیگر را پیاده‌سازی کنند!

علاوه بر این، دوره حوزه‌های نوظهوری مانند مدیریت وضعیت امنیت اپلیکیشن (ASPM) را پوشش خواهد داد که دیدی جامع از سلامت امنیتی اپلیکیشن‌های نرم‌افزاری با ادغام شیوه‌ها و ابزارهای امنیتی مختلف ارائه می‌دهد. این رویکرد کل‌نگر تضمین می‌کند که سازمان‌ها می‌توانند آسیب‌پذیری‌ها، ضعف‌های پیکربندی و انطباق با سیاست‌های امنیتی را در کل چرخه حیات اپلیکیشن مدیریت کنند.

دموهای عملی و فعالیت‌های کاربردی به شرکت‌کنندگان اجازه می‌دهد تا آنچه را که آموخته‌اند در سناریوهای دنیای واقعی به کار ببرند. از بررسی درخت‌های حمله و تکنیک‌های مدل‌سازی تهدید تا انجام تست‌های نفوذ و بهره‌گیری از ابزارهایی مانند CodeQL برای کدنویسی امن، شرکت‌کنندگان تجربه ارزشمندی در شناسایی، کاهش اثر و پاسخ به تهدیدات امنیتی کسب خواهند کرد.

در پایان این دوره، شرکت‌کنندگان درک عمیق و دقیقی از امنیت اپلیکیشن پیدا خواهند کرد. آن‌ها قادر خواهند بود شیوه‌های امنیتی را به‌طور یکپارچه در SDLC ادغام کنند و اطمینان حاصل کنند که اپلیکیشن‌هایشان نه تنها عملکردی هستند، بلکه در برابر طیف کامل تهدیدات سایبری مقاوم و ایمن هستند. چه یک متخصص امنیت با تجربه باشید و چه توسعه‌دهنده‌ای که تازه وارد امنیت اپلیکیشن شده است، این دوره شما را با دانش و مهارت‌هایی برای ساخت و نگهداری نرم‌افزار ایمن و قابل اعتماد در چشم‌انداز دیجیتال امروز توانمند می‌سازد.

این دوره برای چه کسانی مناسب است؟

• توسعه‌دهندگان نرم‌افزار علاقه‌مند به توسعه نرم‌افزار ایمن‌تر
• متخصصان امنیت
• رهبران مهندسی نرم‌افزار و امنیت
• حرفه‌ای‌های امنیت سایبری