آموزش DevSecOps با GCP: ایمن CI/CD با Google Cloud

سرفصل ها و درس ها

معرفی Introduction

• مقدمه و دستور کار دوره Introduction & Course Agenda

• درباره دوره About the Course

شیرجه عمیق به DevSecOps Deep Dive into DevSecOps

• شرایط اولیه امنیتی - اگر در زمینه امنیتی جدید است Basic Security Terms - If new to security field

• DevSecOps چیست؟ What is DevSecOps?

• ابزارهای مورد استفاده برای پیاده سازی DevSecOps در بازار - بحث مفصل Tools used for DevSecOps Implementation in the market - Detailed discussion

• ابزارهای مورد استفاده برای DevSecOps در GCP Tools used for DevSecOps in GCP

Hands On - پیاده سازی خط لوله DevSecOps در GCP Hands On - Implementing DevSecOps Pipeline in GCP

• حساب رایگان GCP Tier ایجاد کنید Create GCP Free Tier Account

• Git را روی Windows Machine نصب کنید Install Git on Windows Machine

• Repo را در مخزن GCP Cloud Source ایجاد کنید و آن را در سیستم محلی با Git کلون کنید Create Repo in GCP Cloud Source Repository and Clone it on local system with Git

• کد آسیب پذیر را به GCP Cloud Source Repo فشار دهید Push vulnerable code to GCP Cloud Source Repo

• Cloud Build را برای پروژه GCP فعال کنید Enable Cloud Build for GCP Project

• فایل CloudBuild YML را بنویسید و آن را به GCP Cloud Source Code Repo فشار دهید Write CloudBuild YML file and push it to GCP Cloud Source Code Repo

• ایجاد Trigger در GCP CloudBuild Create Trigger in GCP CloudBuild

• با استفاده از CloudBuild، ساخت خودکار را در GCP راه اندازی کنید Trigger Build Automatically in GCP using CloudBuild

SAST را در خط لوله GCP DevSecOps با استفاده از SonarCloud پیاده سازی کنید Implement SAST in GCP DevSecOps Pipeline using SonarCloud

• SonarCloud چیست و مزایای آن چیست؟ What is SonarCloud and its benefits?

• ایجاد حساب کاربری در SonarCloud Create Account on SonarCloud

• ایجاد سازمان و پروژه در SonarCloud برای خط لوله GCP DevSecOps Create Organization and Project in SonarCloud for GCP DevSecOps Pipeline

• پیش نیازهای یکپارچه سازی SonarCloud در خط لوله GCP DevSecOps Prerequisites for integrating SonarCloud within GCP DevSecOps pipeline

• نوشتن کد فایل CloudBuild YAML برای ادغام SonarCloud در GCP DevSecOps Write CloudBuild YAML file code for SonarCloud Integration in GCP DevSecOps

• کد YAML SonarCloud را به GCP فشار دهید و SAST را در خط لوله GCP DevSecOps اجرا کنید Push SonarCloud YAML code to GCP and execute SAST in GCP DevSecOps pipeline

• نتایج اسکن SAST را در داشبورد SonarCloud مرور کنید و FPA را انجام دهید Review SAST scan results on SonarCloud dashboard and perform FPA

• توکن Sonar را از فایل CloudBuil YML به متغیر جایگزینی GCP CloudBuild منتقل کنید Move Sonar Token from CloudBuil YML file to GCP CloudBuild Substitution Variable

• دروازه های کیفیت سفارشی را در SonarCloud ایجاد کنید Create Custom Quality Gates within SonarCloud

• پیش نیازهای پر کردن Code Coverage در SonarCloud Prerequisites to populate Code Coverage on SonarCloud

• تغییر پوشش کد در کد منبع به GCP و بررسی تغییرات در SonarCloud Push Code Coverage changes in Source Code to GCP & Review changes on SonarCloud

• بررسی دانش Knowledge Check

SCA را در GCP DevSecOps Pipeline با استفاده از Snyk پیاده سازی کنید Implement SCA in GCP DevSecOps Pipeline using Snyk

• Snyk چیست و مزایای آن چیست؟ What is Snyk and its benefits?

• ایجاد حساب Snyk Create Snyk Account

• کد امنیتی Snyk را ایجاد کرده و به عنوان متغیر GCP Cloud Build Substitution ذخیره کنید Create Snyk security token and store as a GCP Cloud Build Substitution variable

• کد ادغام SCA را در GCP CloudBuild YML & pom.xml بنویسید Write SCA Integration code in GCP CloudBuild YML & pom.xml

• تغییرات کد Snyk را به GCP فشار دهید و نتایج Snyk را بررسی کنید و FPA را انجام دهید Push Snyk Code changes to GCP and review Snyk results and perform FPA

• بررسی دانش Knowledge Check

DAST را در خط لوله GCP DevSecOps با استفاده از OWASP ZAP پیاده سازی کنید Implement DAST in GCP DevSecOps Pipeline using OWASP ZAP

• OWASP ZAP و مزایای آن چیست؟ What is OWASP ZAP and its benefits?

• سطل ذخیره سازی Google برای ذخیره گزارش های html DAST ایجاد کنید Create Google Storage bucket for storing DAST html reports

• کد ادغام DAST را در فایل GCP Cloudbuild YML بنویسید Write DAST integration code in GCP Cloudbuild YML file

• تغییرات کد DAST را به GCP فشار دهید و نتایج OWASP ZAP را بررسی کنید و FPA را انجام دهید Push DAST Code changes to GCP and review OWASP ZAP results and perform FPA

مطالعه موردی پروژه جاوا پایان به پایان برای پیاده سازی خط لوله GCP DevSecOps End To End Java Project Case Study for implementing GCP DevSecOps Pipeline

• مطالعه موردی: درک الزامات پروژه قبل از اجرای گردش کار Case Study: Understanding Project Requirements before workflow implementation

• نوشتن کد CloudBuild YML برای SAST، SCA و DAST برای End to End DevSecOps Pipeline Write CloudBuild YML code for SAST, SCA & DAST for End to End DevSecOps Pipeline

• نوشتن تغییرات POM.XML برای SAST، SCA و DAST برای End to End DevSecOps Pipeline Write POM.XML changes for SAST, SCA & DAST for End to End DevSecOps Pipeline

• برای پایان به پایان DevSecOps Pipeline، تغییرات cloudbuil.yml و pom.xml را به GCP فشار دهید Push cloudbuil.yml & pom.xml changes to GCP for End To End DevSecOps Pipeline

مشکلات امنیتی پیدا شده در طول اسکن SAST، SCA و DAST در JIRA را گزارش دهید Report Security issues found during SAST, SCA & DAST scans in JIRA

• Hands On: یک حساب کاربری JIRA با Atlassian با سایت JIRA سفارشی ایجاد کنید Hands On: Create a JIRA account with Atlassian with custom JIRA site

• Hands On: گزارش مشکلات امنیتی SAST در JIRA توسط SonarCloud شناسایی شده است Hands On: Report SAST security issues in JIRA identified by SonarCloud

• Hands On: گزارش مشکلات امنیتی SCA در JIRA که توسط Snyk شناسایی شده است Hands On: Report SCA security issues in JIRA identified by Snyk

• Hands On: مشکلات امنیتی DAST در JIRA شناسایی شده توسط OWASP ZAP را گزارش کنید Hands On: Report DAST security issues in JIRA identified by OWASP ZAP

بخش مراحل بعدی و پاداش Next Steps and Bonus section

• اختیاری: امنیت برنامه به عنوان یک شغل Optional: Application Security As a Career

• نمونه رزومه مهندس DevSecOps Sample DevSecOps Engineer CV

• سخنرانی پاداش Bonus Lecture