کتاب Implementing DevSecOps Practices: Supercharge your software security with DevSecOps excellence (پیادهسازی تمرینهای DevSecOps: امنیت نرم افزار خود را با برتری DevSecOps افزایش دهید) علاوه بر شرح مفاهیم امنیت در رایانش ابری به صورت کاربردی این مفاهیم را در محیط ابری پیادهسازی میکند.
در ادامه مقدمهای از کتاب Implementing DevSecOps Practices را از زبان نویسنده شرح خواهیم داد.
مقدمهای بر کتاب Implementing DevSecOps Practices:
ادغام توسعه، امنیت و عملیات – که معمولاً به عنوان DevSecOps شناخته میشود – به عنوان یک رویکرد محوری برای تحویل نرمافزار ظاهر شده است. این روش نه تنها بر اهمیت خودکارسازی فرآیندهای تحویل نرمافزار تأکید میکند، بلکه بر یکپارچهسازی شیوههای امنیتی، درست از مراحل اولیه توسعه، اهمیت ویژهای قائل است.
ماهیت DevSecOps در توانایی آن در شکستن سیلوهای سنتی، پرورش فرهنگ مسئولیت مشترک برای کیفیت و امنیت نرمافزار نهفته است. این سازمان تشخیص میدهد که در عصر تهدیدات سایبری و انتشار مکرر نرمافزار، امنیت نمیتواند یک فکر بعدی باشد. باید در هر مرحله از چرخه عمر نرمافزار جا افتاده باشد.
این کتاب نقطه اوج بینشها، بهترین شیوهها و تکنیکهای عملی برای پیادهسازی DevSecOps در محیطهای دنیای واقعی است. به عمق جنبههای عملی میپردازد، خوانندگان را از طریق راهاندازی خطوط لوله قوی CI/CD، یکپارچهسازی ابزارهای امنیتی، خودکارسازی بررسیهای امنیتی، و پرورش فرهنگی که امنیت را به اندازه سرعت ارزش میگذارد، راهنمایی میکند.
خواه شما یک متخصص فناوری اطلاعات باشید که با هدف درک پیچیدگیهای DevSecOps، علاقهمند به امنیت مشتاق ادغام امنیت در رویههای DevOps هستید، یا یک پزشک مجرب که به دنبال راهنمایی عملی است، این کتاب وعده داده است که منبع جامعی باشد.
از طریق صفحات آن، چالشها را رمزگشایی میکنیم، موفقیتها را جشن میگیریم و مهمتر از همه، راه را برای آیندهای که نرمافزار به سرعت، ایمن و کارآمد توسعه مییابد هموار میکنیم.
در این سفر روشنگرانه به من بپیوندید تا به دنیای DevSecOps میپردازیم و اصول، شیوهها و تأثیر عمیق آن بر حوزه تحویل نرمافزار را بررسی میکنیم.
بیشتر بخوانید: کتاب DevOps Tools for Java Developers
کتاب Implementing DevSecOps Practices برای چه کسی است؟
این کتاب برای طیف متنوعی از خوانندگانی ساخته شده است که یا به دنیای DevSecOps قدم میگذارند یا به دنبال تعمیق درک خود از کاربردهای عملی آن هستند. در اینجا نگاهی دقیقتر به اینکه چه کسی از این منبع بیشتر سود میبرد، آورده شده است:
• توسعهدهندگان و مهندسان نرمافزار: برای حرفهایهایی که برنامههای کاربردی را طراحی و کدنویسی میکنند، کتاب Implementing DevSecOps Practices بینشهایی را در مورد یکپارچهسازی اقدامات امنیتی از ابتدای شروع پروژه ارائه میدهد. نحوه نوشتن کد ایمن و شناسایی آسیبپذیریهای احتمالی حتی قبل از تبدیل شدن به تهدید را بدانید.
• متخصصان عملیات فناوری اطلاعات: اگر درگیر استقرار، نظارت یا مدیریت برنامهها هستید، این راهنما شما را با ابزارها و شیوههایی آشنا میکند که استقرار روان و ایمن را تضمین میکنند و بر اهمیت زیرساخت به عنوان کد و بررسیهای امنیتی خودکار تأکید میکند.
• متخصصان امنیت: کسانی که در امنیت سایبری متخصص هستند از تأکید کتاب بر پر کردن شکاف بین امنیت و سایر رشتههای فناوری اطلاعات بهرهمند خواهند شد. نحوه کار مشترک با تیمهای توسعه و عملیات، ادغام ابزارهای امنیتی در خطوط لوله CI/CD و خودکارسازی پروتکلهای امنیتی را بیاموزید.
• پزشکان DevOps: اگر قبلاً با DevOps آشنا هستید اما میخواهید بیشتر در جنبه امنیتی کاوش کنید، کتاب Implementing DevSecOps Practices برای شما مناسب است. درک کنید که چگونه DevSecOps با تعبیه امنیت در هر مرحله از چرخه عمر تحویل نرمافزار، رویکرد DevOps را گسترش و اصلاح میکند.
• معماران و مشاوران فنی: افراد حرفهای که مسئول طراحی اکوسیستمهای فناوری اطلاعات هستند، بینشهایی را در مورد ساختار سیستمهایی که هم چابک و هم ایمن هستند، به دست خواهند آورد و اطمینان حاصل میکنند که ملاحظات امنیتی فقط افزونهها نیستند، بلکه عناصر اساسی هستند.
• رهبران و مدیران فناوری اطلاعات: برای تصمیم گیرندگانی که قصد دارند فرهنگ DevSecOps را در تیمها یا سازمانهای خود پیادهسازی کنند، کتاب Implementing DevSecOps Practices یک نقشه راه ارائه میدهد. در مورد مزایا، چالشها و استراتژیهای ترویج فرهنگی که در آن امنیت و چابکی دست به دست هم میدهند، بیاموزید.
• دانشجویان و دانشگاهیان: کسانی که در دانشگاه هستند، چه در حال مطالعه توسعه نرمافزار، مدیریت فناوری اطلاعات، یا امنیت سایبری هستند، کتاب Implementing DevSecOps Practices را افزوده ارزشمندی به برنامه درسی خود خواهند یافت که بینشهای دنیای واقعی و روشهای عملی فراتر از دانش نظری را ارائه میدهد.
این کتاب منبع ارزشمندی برای هر کسی است که مشتاق درک هم افزایی بین توسعه، عملیات، و امنیت و نحوه اجرای شیوههایی است که تحویل نرمافزار سریعتر، کارآمدتر و مهمتر از همه امنتر را تضمین میکند.
بیشتر بخوانید: کتاب Mobile DevOps Playbook
آنچه کتاب Implementing DevSecOps Practices پوشش میدهد:
فصل ۱، معرفی DevSecOps، اصول اولیه DevSecOps و سطوح مختلف بلوغ مربوط به وضعیت فعلی و وضعیت قابل دستیابی آتی از شیوههای مربوط به DevSecOps را مورد بحث قرار میدهد.
این به سازمانها کمک میکند تا بفهمند کجا هستند و در کجا میتوان کارها را دنبال کرد. مردم مهمترین عنصر در هر فناوری و فرآیندی هستند. شما میتوانید از بهترین فناوریها و فرآیندها استفاده کنید، اما بدون افراد، نمیتوان به اهداف دست یافت. در این فصل از کتاب Implementing DevSecOps Practices با مشارکت تیمهای مختلف و شاخصهای کلیدی عملکرد آشنا میشویم.
فصل ۲، اصول DevSecOps، اصول DevSecOps را بررسی میکند، که مفاهیم کلیدی برای انتخاب یک برنامه در هر نقطه از چرخه توسعه و رساندن آن به مرحله بلوغ است.
فصل ۳، درک وضعیت امنیتی، درک وضعیت امنیتی شما از خط لوله DevSecOps در یک سازمان را پوشش میدهد. ما همچنین خواهیم دید که چه اقداماتی برای ایمنسازی محیط انجام میدهیم و چرا، چه اقداماتی میتوانیم برای نظارت بر یک محیط انجام دهیم؟ ، و امنیت در کجای کل فرآیند توسعه قرار دارد؟
فصل ۴، درک قابلیت مشاهده، بررسی میکند که مشاهدهپذیری چیست و چگونه با نظارت متفاوت است. همچنین، ما به نحوهی کمک مشاهدهپذیری به DevSecOps نگاه خواهیم کرد.
فصل ۵، درک مهندسی آشوب، جنبههای مهندسی آشوب و نحوه تغذیه دادهها به یک سیستم را پوشش میدهد و همچنین درک چگونگی شکست سیستم را پوشش میدهد.
فصل ۶، یکپارچهسازی مستمر و استقرار مستمر، CI/CD چیست، مزایای CI/CD، چگونه میتوانیم خط لوله CI/CD را خودکار کنیم، و اهمیت خط لوله CI/CD را مورد بحث قرار میدهد.
فصل ۷، مدلسازی تهدید، به مدلسازی تهدید میپردازد، که شامل بررسی برنامهها از دید یک مهاجم به منظور شناسایی و برجسته کردن نقصهای امنیتی است که میتوان از آنها سوء استفاده کرد.
این امر امنیت را به بخشی از فرهنگ سازمانی تبدیل میکند و زمینه را برای محل کار DevSecOps فراهم میکند. مدلسازی تهدید همچنین به تیمها کمک میکند تا نقشها، اهداف و نکات دردناک یکدیگر را بهتر درک کنند و یاد بگیرند و در نتیجه سازمانی مشارکتی و درکتر ایجاد کنند. این فصل از کتاب Implementing DevSecOps Practices همچنین ابزارهای رایگان و منبع باز برای مدلسازی تهدید را پوشش میدهد.
فصل ۸، تجزیه و تحلیل ترکیب نرمافزار (SCA)، وابستگیهای شخص ثالث را بررسی میکند، که یکی از بزرگترین نگرانیها هنگام سروکار با کد است. حدود ۸۰ تا ۹۰ درصد کدهای نرمافزار حاوی وابستگیها یا کتابخانههای شخص ثالث است. این وابستگیها مسائل و مزایای خاص خود را دارند. در این فصل از کتاب Implementing DevSecOps Practices به تجزیه و تحلیل ترکیب نرمافزار و کاربردهای آن میپردازیم. ما همچنین ابزارهای رایگان و متن باز برای SCA را پوشش میدهیم.
فصل ۹، تست امنیت برنامه استاتیک (SAST)، SAST را بررسی میکند، که در اوایل چرخه عمر توسعه نرمافزار (SDLC) اتفاق میافتد، زیرا نیازی به برنامه کاربردی ندارد و میتواند بدون اجرای هیچ کدی انجام شود. این فصل از کتاب Implementing DevSecOps Practices، همچنین ابزارهای منبع باز و رایگان برای SAST را پوشش میدهد.
فصل ۱۰، اسکن زیرساخت به عنوان کد (IaC)، اسکن زیرساخت به عنوان کد (IaC) را مورد بحث قرار میدهد، که به دنبال آسیبپذیریهای شناخته شده در فایلهای پیکربندی IaC شما میگردد. IaC قابلیت استفاده و عملکرد را بهبود میبخشد و در عین حال به توسعهدهندگان در استقرار زیرساخت کمک میکند. این فصل از کتاب Implementing DevSecOps Practices جنبههای اسکن IaC و تست قابلیت استفاده را به اشتراک میگذارد. این فصل همچنین ابزارهای منبع باز و رایگان برای IaC را پوشش میدهد.
فصل ۱۱، تست امنیت برنامههای کاربردی پویا (DAST)، به DAST میپردازد، که فرآیند تجزیه و تحلیل یک برنامه وب از قسمت جلو برای یافتن آسیبپذیریها است. یک اسکنر DAST به دنبال نتایجی است که بخشی از مجموعه نتایج مورد انتظار نیستند و نقصهای امنیتی را تشخیص میدهد. این فصل از کتاب Implementing DevSecOps Practices همچنین ابزارهای رایگان و متن باز برای DAST را پوشش میدهد.
فصل ۱۲، تنظیم یک برنامه DevSecOps با ابزارهای منبع باز، ابزارها و نکاتی را برای راهاندازی یک برنامه DevSecOps مؤثر، پوشش آن از ۳۶۰ درجه را پوشش میدهد.
فصل ۱۳، انطباق با مجوزها، پوشش کد و خط مشیهای پایه، انطباق با مجوز را بررسی میکند، که تضمین میکند مجوزها و خط مشیها را مدیریت کرده و آنها را به روز نگه میداریم.
فصل ۱۴، راهاندازی یک برنامه قهرمانان امنیتی، در مورد اینکه قهرمانان امنیتی چه کسانی هستند و چگونه میتوانیم برنامه قهرمانان امنیتی را راهاندازی کنیم، صحبت میکند.
فصل ۱۵، مطالعات موردی، به بررسی مطالعات موردی از سازمانهایی میپردازد که برنامههای DevSecOps را راهاندازی کردهاند. شکستهای اولیه که در نهایت به موفقیت برنامه DevSecOps کمک کرد چه بود؟ ما به درسهایی که در طول مسیر آموختهایم نگاه میکنیم.
فصل ۱۶، نتیجهگیری، کتاب را به پایان میرساند و بر آنچه از فصلهای مختلف آموختهایم تمرکز میکند و فراخوانی برای اقدام در راه آینده ارائه میدهد.
سرفصلهای کتاب Implementing DevSecOps Practices:
- Cover
- Title Page
- Copyright and Credits
- Dedicated
- Contributors
- Table of Contents
- Preface
- Part 1: DevSecOps – What and How?
- Chapter 1: Introducing DevSecOps
- Part 2: DevSecOps Principles and Processes
- Chapter 2: DevSecOps Principles
- Chapter 3: Understanding the Security Posture
- Chapter 4: Understanding Observability
- Chapter 5: Understanding Chaos Engineering
- Part 3: Technology
- Chapter 6: Continuous Integration and Continuous Deployment
- Chapter 7: Threat Modeling
- Chapter 8: Software Composition Analysis (SCA)
- Chapter 9: Static Application Security Testing
- Chapter 10: Infrastructure-as-Code (laC) Scanning
- Chapter 11: Dynamic Application Security Testing (DAST)
- Part 4: Tools
- Chapter 12: Setting Up a DevSecOps Program with Open Source Tools
- Part 5: Governance and an Effective Security Champions Program
- Chapter 13: License Compliance, Code Coverage, and Baseline Policies
- Chapter 14: Setting Up a Security Champions Program
- Part 6: Case Studies and Conclusion
- Chapter 15: Case Studies
- Chapter 16: Conclusion
- Index
- Other Books You May Enjoy
جهت دانلود کتاب Implementing DevSecOps Practices میتوانید پس از پرداخت، دریافت کنید.
نقد و بررسیها
هنوز بررسیای ثبت نشده است.