آموزش اصول امنیت برنامه برای مبتدیان مطلق

سرفصل ها و درس ها

مقدمه و دستور کار Introduction and Agenda

• مقدمه و دستور کار دوره Introduction And Course Agenda

مبانی امنیت برنامه Basics of Application Security

• SDLC در مقابل SDLC امن SDLC vs Secure SDLC

• فعالیت های امنیتی در هر مرحله در Secure SDLC Security Activities at each phase in Secure SDLC

• نقش های شغلی امنیتی برای انجام فعالیت های امنیتی در هر مرحله در Secure SDLC Security Job Roles to perform security activities at each phase in Secure SDLC

• مشاغل امنیتی را در سیستم عامل های شکار شغل در امنیت برنامه پیدا کنید Find security jobs on job hunting platforms in application security

• الزامات فنی و تخصص برای شغل مهندس امنیت Sr Technical Requirements and Expertise for a job of Sr Security Engineer

• الزامات فنی و تخصص برای شغل مهندس DevSecOps Technical Requirements and Expertise for a job of DevSecOps Engineer

• الزامات فنی و تخصص برای شغل مهندس VA/PT Technical Requirements and Expertise for a job of VA/PT Engineer

• الزامات فنی و تخصص برای شغل مهندس قلم تست Technical Requirements and Expertise for a job of Pen Test Engineer

• الزامات فنی و تخصص مشترک برای نقش های شغلی امنیتی Common Technical Requirements and Expertise for Security Job Roles

شرایط اساسی امنیت برنامه کاربردی با نسخه نمایشی دستی Basic Application Security Terms with Hands-On Demo

• تست امنیت برنامه استاتیک و ابزارهای آن Static Application Security Testing and its tools

• Hands On: اسکن SAST با استفاده از Fortify On Demand Hands On: SAST scan using Fortify On Demand

• SBOM یا Software Bill of Material (که SCA نیز نامیده می شود) و ابزارهای آن SBOM or Software Bill of Material (Also called SCA) and its tools

• Hands On: اسکن SCA با استفاده از Snyk Hands On: SCA scan using Snyk

• تست امنیت برنامه پویا و ابزارهای آن Dynamic Application Security Testing and its tools

• Hands On: اسکن DAST با استفاده از میزبانی OWASP ZAP Hands On: DAST scan using Hosted OWASP ZAP

• مبانی امنیت کانتینر و ابزارهای آن Container Security Basics and its tools

• Hands On: اسکن امنیتی کانتینر با استفاده از Snyk Hands On: Container Security scan using Snyk

• Infrastructure As Code Basics و ابزارهای آن Infrastructure As Code Basics and its tools

• Hands On: نسخه نمایشی اسکن امنیتی IAC با استفاده از Checkov Hands On: IAC Security Scanning Demo using Checkov

• Hands On: نسخه نمایشی اسکن امنیتی IAC با استفاده از BridgeCrew Hands On: IAC Security Scanning Demo using BridgeCrew

• CWE & CVE & CVSS چیست؟ What is CWE & CVE & CVSS?

• تحلیل مثبت کاذب چیست؟ What is False Positive Analysis?

• Hands On: نسخه ی نمایشی FPA Hands On: FPA Demo

راه‌اندازی محیط آزمایشگاه برای یادگیری الزامات امنیتی اولیه، یعنی OWASP TOP 10 Lab Environment Setup for learning basic security requirements i.e. OWASP TOP 10

• دست در دست: NodeJs را برای OWASP Juice Shop نصب کنید - مرحله اول Hands On: Install NodeJs for OWASP Juice Shop - First Step

• دست در دست: OWASP Juice Shop را در سیستم محلی نصب کنید - قسمت 2 Hands On: Install OWASP Juice Shop on local System - Part 2

• Hands On: Burp Suite را روی سیستم محلی نصب کنید Hands On: Install Burp Suite on Local System

• Hands On: Burp Suite را با مرورگر Chrome پیکربندی کنید Hands On: Configure Burp Suite with Chrome Browser

با اصول اولیه: شیرجه عمیق در OWASP TOP 10 آشنا شوید Hands On with Basics : Deep Dive in OWASP TOP 10

• A01:2021 - کنترل دسترسی شکسته A01:2021-Broken Access Control

• A02:2021-شکست های رمزنگاری A02:2021-Cryptographic Failures

• A03:2021-تزریق A03:2021-Injection

• A04:2021-طراحی ناامن A04:2021-Insecure Design

• A05:2021-پیکربندی اشتباه امنیتی A05:2021-Security Misconfiguration

• A06:2021-مولفه های آسیب پذیر و قدیمی A06:2021-Vulnerable and Outdated Components

• A07:2021-نقص در شناسایی و احراز هویت A07:2021-Identification and Authentication Failures

• A08:2021-نقص نرم افزار و یکپارچگی داده A08:2021-Software and Data Integrity Failures

• A09:2021-نقص ثبت و نظارت امنیتی A09:2021-Security Logging and Monitoring Failures

• A10:2021-جعل درخواست سمت سرور A10:2021-Server-Side Request Forgery

آموزش معماری امنیتی و بررسی با مدل سازی تهدید در امنیت برنامه Learn Security Architecture and Review with Threat Modeling in App Security

• بررسی معماری و طراحی امنیتی (SAR) چیست؟ What is Security Architecture & Design Review (SAR)?

• فرآیند 4 مرحله ای برای انجام بررسی معماری و طراحی امنیتی در زندگی واقعی 4 Step Process to perform Security Architecture & Design Review in Real Life

• Hands On: یک حساب کاربری با IriusRisk ایجاد کنید Hands On: Create an account with IriusRisk

• Hands On: یک نمودار جریان داده با Irius Risk ایجاد کنید Hands On: Create a Data Flow Diagram with Irius Risk

• Hands On: با استفاده از IriusRisk مدل سازی تهدید را انجام دهید و گزارش ایجاد کنید Hands On: Perform Threat Modeling and Generate Reports using IriusRisk

DevSecOps را در امنیت برنامه با مثال بیاموزید Learn DevSecOps in Application Security with Example

• DevSecOps چیست؟ What is DevSecOps?

• ابزارهای مورد استفاده برای پیاده سازی DevSecOps در بازار - بحث مفصل Tools used for DevSecOps Implementation in the market - Detailed discussion

• مطالعه موردی: درک الزامات پروژه قبل از اجرای گردش کار Case Study: Understanding Project Requirements before workflow implementation

• Hands On: نوشتن تغییرات کد برای ادغام SAST، SCA و DAST در DevSecOps Pipeline Hands On: Write code changes to integrate SAST, SCA & DAST in DevSecOps Pipeline

• Hands On: اجرای خط لوله DevSecOps GitLab End to End و گزارش های بررسی Hands On: Execute End to End GitLab DevSecOps Pipeline and review logs

سوالات/پاسخ های مصاحبه امنیتی برنامه و CV Application Security Interview Questions/Answers and CV

• سوالات و پاسخ های مصاحبه امنیتی برنامه Application Security Interview Questions and Answers

• نمونه رزومه برای یک مهندس امنیت برنامه Sample CV for an application security engineer

مراحل بعدی Next Steps

• سخنرانی پاداش Bonus Lecture