آموزش DevSecOps با استفاده از GitHub Actions: CICD را با GitHub ایمن کنید

سرفصل ها و درس ها

معرفی Introduction

• مقدمه و دستور کار دوره Introduction and Course Agenda

• در مورد دوره About the course

شیرجه عمیق به DevSecOps Deep dive into DevSecOps

• شرایط اولیه امنیتی - اگر در زمینه امنیتی جدید است Basic Security Terms - If new to security field

• DevSecOps چیست؟ What is DevSecOps?

• ابزارهای مورد استفاده برای پیاده سازی DevSecOps در بازار Tools used for DevSecOps Implementation in the market

• بررسی دانش Knowledge Check

Hands On - یکپارچه سازی امنیت در DevSecOps Pipeline Hands On - Integrating Security in DevSecOps Pipeline

• مبانی اقدامات GitHub - قسمت 1 Basics of GitHub Actions - Part 1

• مبانی اقدامات GitHub - قسمت 2 Basics of GitHub Actions - Part 2

• پیش نیاز: کد ویژوال استودیو را به عنوان ویرایشگر در ویندوز نصب کنید Hands On Prerequisite: Install Visual Studio Code as an Editor on Windows

• پیش نیاز: Git Bash را روی ویندوز نصب کنید Hands On Prerequisite: Install Git Bash on Windows

• نکاتی در مورد دستورات Git Notes on Git Commands

• پیش نیاز عملی: Git Bash را با حساب GitHub متصل کنید (2 روش توضیح داده شده است) Hands On Prerequisite: Connect Git Bash with GitHub Account(2 Methods Explained)

• Hands On: یک فایل Yaml ساده GitHub Actions ایجاد کنید - قسمت 1 Hands On: Create a simple GitHub Actions yaml file - Part 1

• Hands On: یک فایل Yaml ساده GitHub Actions ایجاد کنید - قسمت 2 Hands On: Create a simple GitHub Actions yaml file - Part 2

• Hands On: یک فایل Yaml ساده GitHub Actions ایجاد کنید - قسمت 3 Hands On: Create a simple GitHub Actions yaml file - Part 3

• Snyk چیست و مزایای آن چیست؟ What is Snyk and its benefits?

• برای اجرای اسکن SCA حساب Snyk ایجاد کنید Create Snyk Account for running SCA scan

• Hands On: Snyk را در GitHub Actions ادغام کنید (اسکن SCA) Hands On: Integrate Snyk in GitHub Actions (SCA scan)

• OWASP ZAP و مزایای آن چیست؟ What is OWASP ZAP and its benefits?

• توجه: اگر در سخنرانی 20 با مشکلی مواجه شدید، سخنرانی 21 را بررسی کنید Note: Check Lecture 21 if you face any issue in lecture 20

• Hands On: OWASP ZAP را در GitHub Actions ادغام کنید (DAST scan) Hands On: Integrate OWASP ZAP in GitHub Actions (DAST scan)

• بسیار مهم: اشکال زدایی با اسکن OWASP ZAP Very Important: Debug Issues with OWASP ZAP scan

• SonarCloud چیست و مزایای آن چیست؟ What is SonarCloud and its benefits?

• ایجاد یک حساب SonarCloud برای اجرای تجزیه و تحلیل سونار در کد منبع (اسکن SAST) Create a SonarCloud Account for running Sonar Analysis on Source Code(SAST scan)

• Hands On: (بسیار مهم) SonarCloud را در GitHub Actions ادغام کنید (SAST scan) Hands On: (Very Important) Integrate SonarCloud in GitHub Actions (SAST scan)

• بسیار مهم: نکاتی درباره پر کردن پوشش کد در SonarCloud یا SonarQube Very Important: Notes on Populating Code Coverage on SonarCloud or SonarQube

• بررسی دانش Knowledge Check

مطالعه موردی جاوا: ایجاد خط لوله DevSecOps End to End برای یک پروژه جاوا Java Case Study: Creating DevSecOps End to End Pipeline for a Java Project

• مطالعه موردی: درک الزامات پروژه قبل از اجرای گردش کار Case Study: Understanding Project Requirements before workflow implementation

• Case Study Hands On: پیش نیازهای اجرای End to End DevSecOps Pipeline Case Study Hands On: Pre-requisites for running End to End DevSecOps Pipeline

• Case Study Hands On: ایجاد فایل گردش کار و اجرای DevSecOps Pipeline Case Study Hands On: Workflow file creation and DevSecOps Pipeline execution

• مطالعه موردی: نتایج خط لوله DevSecOps را مرور کنید - SonarCloud (اسکن SAST) Case Study Hands On: Review DevSecOps Pipeline Results - SonarCloud (SAST scan)

• مطالعه موردی: نتایج خط لوله DevSecOps را مرور کنید - Snyk (اسکن SCA) Case Study Hands On: Review DevSecOps Pipeline Results - Snyk (SCA scan)

• مطالعه موردی: نتایج خط لوله DevSecOps را مرور کنید - OWASP ZAP (اسکن DAST) Case Study Hands On: Review DevSecOps Pipeline Results - OWASP ZAP (DAST scan)

• Case Study Hands On: اصلاح فایل گردش کار برای ایجاد خط لوله متوالی Case Study Hands On: Modifying Workflow file to create Sequential Pipeline

• مشکلات اشکال زدایی در خط لوله DevSecOps Debug issues in DevSecOps pipeline

• بررسی دانش Knowledge Check

مطالعه موردی NodeJs: ایجاد خط لوله DevSecOps End to End برای پروژه NodeJs NodeJs Case Study: Creating End to End DevSecOps Pipeline for NodeJs Project

• مطالعه موردی NodeJS: قبل از اجرای گردش کار، نیازهای پروژه را درک کنید NodeJS Case Study: Understand Project Requirement before workflow implementation

• Hands On: فایل گردش کار ایجاد شده برای NodeJs DevSecOps Pipeline را درک کنید Hands On: Understand Workflow file created for NodeJs DevSecOps Pipeline

• Hands On: اجرای NodeJs End to End DevSecOps Pipeline با استفاده از GitHub Actions Hands On: Running NodeJs End to End DevSecOps Pipeline using GitHub Actions

تکلیف: خط لوله DotNet/C# End to End DevSecOps را بسازید و اجرا کنید Assignment: Build and run DotNet/C# End to End DevSecOps Pipeline

• تکلیف ایجاد End to End DevSecOps Repo برای پروژه NET/C# Assignment to create End to End DevSecOps Repo for .NET/C# Project

• برخی از خطاهای رایج و راه حل های آنها Some Common Errors and their solutions

مشکلات امنیتی پیدا شده در طول اسکن SAST، SCA و DAST در JIRA را گزارش دهید Report Security issues found during SAST, SCA & DAST scans in JIRA

• Hands On: ایجاد حساب JIRA با Atlassian با سایت JIRA سفارشی Hands On: Create JIRA account with Atlassian with custom JIRA site

• Hands On: گزارش مشکلات امنیتی SAST در JIRA توسط SonarCloud شناسایی شده است Hands On: Report SAST security issues in JIRA identified by SonarCloud

• Hands On: گزارش مشکلات امنیتی SCA در JIRA که توسط Snyk شناسایی شده است Hands On: Report SCA security issues in JIRA identified by Snyk

• Hands On: مشکلات امنیتی DAST در JIRA شناسایی شده توسط OWASP ZAP را گزارش کنید Hands On: Report DAST security issues in JIRA identified by OWASP ZAP

• Hands On: JIRA را با SonarCloud ادغام کنید تا با یک کلیک بلیط ایجاد کنید Hands On: Integrate JIRA with SonarCloud to create tickets with one-click

بخش مراحل بعدی و پاداش Next Steps and Bonus section

• اختیاری: امنیت برنامه به عنوان یک شغل Optional: Application Security As a Career

• نمونه رزومه مهندس DevSecOps Sample DevSecOps Engineer CV

• سخنرانی پاداش Bonus Lecture