کتاب Software Security for Developers: With examples in Java and Spring (امنیت نرمافزار برای توسعهدهندگان: با مثالهایی در جاوا و اسپرینگ) نوشتهٔ ادیب سایکلی (Adib Saikali) و لورنتیو اسپیلکا (Laurentiu Spilca) یک راهنمای عملی و مبتنی بر مثال برای توسعهدهندگانی است که میخواهند امنیت برنامههای مدرن ابری و مستقر روی Kubernetes را به شیوهای ساده و بیپیرایه یاد بگیرند. نویسندگان بدون ورود به جزئیات پیچیده و ریاضیات سنگین رمزنگاری، مفاهیم پایهای مانند هش کردن، رمزگذاری، امضای دیجیتال و زیرساخت کلید عمومی (PKI) را شفافسازی میکنند و با مثالهای کدنویسی در جاوا و اسپرینگ، نحوهٔ استفاده صحیح از پروتکلهای استاندارد صنعتی مثل OAuth 2.0 و OpenID Connect را آموزش میدهند.
در ادامه مقدمهای از کتاب Software Security for Developers را از زبان نویسنده شرح خواهیم داد.
مقدمهای بر کتاب Software Security for Developers:
«امنیت در زندگی روزمرهی یک توسعهدهندهی نرمافزار به چه معناست؟ بسیاری با کلماتی مانند رمزنگاری (Encryption)، احراز هویت (Authentication) و انطباق با استانداردها (Compliance) پاسخ میدهند. برخی دیگر ممکن است امنیت را چیزی بدانند که توسط یک تیم جداگانه مدیریت میشود، در مراحل پایانی فرایند توسعه بازبینی میگردد، یا صرفاً از طریق تنظیمات (Configuration) و چکلیستها به پروژه اضافه میشود. در عمل، امنیت هیچیک از این موارد به تنهایی نیست. امنیت ویژگیای است که از هزاران تصمیم کوچک هنگام طراحی، پیادهسازی و اجرای نرمافزار پدید میآید.
ما به عنوان توسعهدهنده، بیشتر وقت خود را صرف ساخت سیستمهایی میکنیم که با یکدیگر ارتباط برقرار میکنند، دادهها را ذخیره میکنند و به نمایندگی از کاربران تصمیم میگیرند. هر یک از این فعالیتها دارای فرضیاتِ ضمنیِ اعتماد هستند. به کدام داده میتوان اعتماد کرد؟ کدام سیستمها اجازهی برقراری ارتباط با یکدیگر را دارند؟ چه کسی اجازهی انجام یک عملیات را دارد و تحت چه شرایطی؟ این پرسشها بهندرت تحت عنوان «کار امنیتی» طبقهبندی میشوند، با این حال، دقیقاً همینها هستند که تعیین میکنند یک سیستم تا چه حد امن است.
مشکلات امنیتی اغلب نه به این دلیل رخ میدهند که توسعهدهندگان امنیت را نادیده میگیرند، بلکه به این دلیل به وجود میآیند که آنها مکانیزمهای زیربنایی را بهطور کامل درک نمیکنند. رمزنگاری فعال است، اما بهدرستی استفاده نمیشود. احراز هویت کار میکند، اما تعیین سطح دسترسی (Authorization) بیش از حد کلی یا بیش از حد سهلگیرانه است. گواهیها پیکربندی شدهاند، اما مدل اعتماد آنها شفاف نیست. در بسیاری از موارد، سیستم در ظاهر بهدرستی کار میکند تا زمانی که به روشهای ظریفی دچار شکست میشود؛ بنابراین، ما باید درک کنیم که هر مکانیزم دقیقاً چه کاری انجام میدهد و چه کاری انجام نمیدهد.
کتاب Software Security for Developers برای کمک به توسعهدهندگان جهت رسیدن به چنین درکی نوشته شده است. این کتاب بهجای ارائهی امنیت بهعنوان مجموعهای از قوانین یا ترفندهای دفاعی، اجزای سازندهی امنیت برنامههای مدرن — شامل رمزنگاری، هویت، ارتباطات امن و تعیین سطح دسترسی — را توضیح میدهد و نشان میدهد که چگونه این موارد در سیستمهای واقعی در کنار هم قرار میگیرند. تمرکز اصلی کتاب بر شفافیت، استدلال منطقی و پرهیز از تصورات غلطِ رایجی است که منجر به طراحیهای شکننده یا ناامن میشوند.
تمام مثالهای کتاب Software Security for Developers به زبان جاوا نوشته شدهاند، صرفاً به این دلیل که برای توضیح دقیق مفاهیم، استفاده از یک زبان عینی ضروری است. با این حال، خودِ این مفاهیم محدود به جاوا یا ماشین مجازی جاوا (JVM) نیستند. اصول امنیتیِ مورد بحث در اینجا، فارغ از زبان، فریمورک یا پلتفرم، کاربرد دارند.
هدف ما این نیست که شما را به یک متخصص امنیت تبدیل کنیم، بلکه میخواهیم شما را به توسعهدهندهای مؤثرتر و با اعتمادبهنفستر تبدیل کنیم؛ توسعهدهندهای که بتواند دربارهی امنیت استدلال کند، الگوهای مخاطرهآمیز را تشخیص دهد و تصمیمات آگاهانهای بگیرد. در سیستمهای نرمافزاری مدرن، امنیت یک دغدغهی جداگانه نیست؛ بلکه بخشی از توسعهی حرفهای نرمافزار است. امیدواریم این کتاب به شما کمک کند تا با امنیت نیز با همین نگاه برخورد کنید.»
دربارهی کتاب Software Security for Developers
از آنجا که این کتاب را گشودهاید، فرض ما بر این است که شما یک توسعهدهندهی نرمافزار هستید یا ارتباط نزدیکی با ساخت سیستمهای نرمافزاری دارید که در محیط عملیاتی (Production) اجرا میشوند و با کاربرانِ واقعی، دادههای واقعی و ریسکهای واقعی سروکار دارند. ممکن است شما عمدتاً با جاوا و JVM کار کنید، اما اصولِ مطرحشده در این کتاب، در صورتی که از کاتلین (Kotlin)، اسکالا (Scala) یا هر پلتفرم مدرن دیگری استفاده کنید نیز به همان اندازه کاربرد دارند. امنیت به یک زبان خاص محدود نیست؛ بلکه به نحوهی طراحی، ساخت و عملیاتی کردن سیستمها مربوط میشود.
بهعنوان یک توسعهدهنده، شما همین حالا هم روزانه تصمیماتی در حوزهی امنیت میگیرید، اغلب بدون اینکه متوجه باشید. اینکه چگونه رمزهای عبور را ذخیره میکنید، سرویسها چگونه با یکدیگر صحبت میکنند، کلیدها و گواهیها چگونه مدیریت میشوند، یا دادهها چگونه سریالسازی، ثبت (Log) یا کش (Cache) میشوند — همهی این انتخابها پیامدهای امنیتی دارند. با این حال، بسیاری از مفاهیم امنیتی در سطحی بسیار نظری یا از دیدگاه مهاجمان آموزش داده میشوند و توسعهدهندگان را در چگونگی بهکارگیری آنها در سیستمهای واقعی سردرگم باقی میگذارند.
کتاب Software Security for Developers رویکرد متفاوتی دارد. تمرکز آن بر امنیت از دیدگاه توسعهدهنده است. این کتاب توضیح میدهد که سیستمها چگونه دچار شکست میشوند، مکانیزمهای امنیتی واقعاً چگونه کار میکنند و چگونه باید از آنها بهدرستی استفاده کرد. هدف این نیست که شما را به یک متخصص رمزنگاری یا متخصص امنیت تبدیل کنیم؛ ما میخواهیم درک کافی به شما بدهیم تا بتوانید تصمیمات خوب بگیرید، الگوهای خطرناک را تشخیص دهید و پرسشهای درستی بپرسید.
در سرتاسر کتاب Software Security for Developers، بر سناریوهای عملی که از سیستمهای دنیای واقعی گرفته شدهاند تمرکز میکنیم: میکروسرویسها، APIها، استقرار در فضای ابری (Cloud) و محیطهای سازمانی. ما تأکید میکنیم که «چرا» چیزی وجود دارد، نه صرفاً «چگونه» باید آن را پیکربندی کرد. وقتی مشکلی پیش میآید، شما باید درک کنید که چه چیزی خراب شده، چرا خراب شده و چگونه میتوان آن را بهطور ایمن اصلاح کرد.
تا پایان کتاب Software Security for Developers، باید در بحث دربارهی موضوعات امنیتی با همکاران، بازبینی کدهای مربوط به امنیت و طراحی سیستمهایی که به جای «امنیتِ تصادفی»، «امنیتِ پیشفرض» دارند، اعتمادبهنفس بیشتری داشته باشید. ما موضوعاتی از قبیل موارد زیر را بررسی کرده و با مثالهایی توضیح میدهیم:
- اصول اصلی امنیت که هر توسعهدهندهای باید بداند.
- نحوهی عملکرد رمزنگاری در عمل (و جاهایی که اغلب بهاشتباه استفاده میشود).
- ارتباطات امن با استفاده از TLS (امنیت لایهی انتقال) و mTLS (TLS دوطرفه).
- احراز هویت، تعیین سطح دسترسی و هویت در سیستمهای توزیعشده.
- نحوهی محافظت از اسرار (Secrets)، کلیدها و گواهیها.
- تلههای امنیتی رایج در طراحی برنامه و سیستم.
چه کسانی باید این کتاب را بخوانند؟
کتاب Software Security for Developers برای توسعهدهندگان نرمافزاری است که میخواهند امنیت را درک کنند و سیستمهایی بسازند که «بهطور طراحیشده» امن باشند (Safe by Design). فارغ از زبان برنامهنویسی که استفاده میکنید، مفاهیم امنیتی مانند احراز هویت، رمزنگاری، هویت و ارتباطات امن در همه جا کاربرد دارند. اگر کدی مینویسید که در محیط عملیاتی اجرا میشود، دادههای کاربر را پردازش میکند یا از طریق شبکه ارتباط برقرار میکند، امنیت یک امر اختیاری نیست؛ بلکه بخشی از شغل شماست.
کتاب Software Security for Developers بهویژه برای توسعهدهندگانی ارزشمند است که احساس میکنند امنیت اغلب به شکلی بیش از حد انتزاعی یا تخصصی ارائه میشود. این کتاب توضیح میدهد که چرا مکانیزمهای امنیتی وجود دارند، چه مشکلاتی را حل میکنند و وقتی بهدرستی درک یا استفاده نشوند، چگونه شکست میخورند. هدف این است که دانشی که برای گرفتن تصمیمات آگاهانه و اجتناب از اشتباهات رایج و پرهزینه نیاز دارید، در اختیارتان قرار گیرد.
تمام مثالهای کتاب Software Security for Developers به زبان جاوا نوشته شدهاند. ما این انتخاب را برای ثبات و شفافیت انجام دادیم، نه به این دلیل که مطالب مختص جاوا باشند. اصول، الگوها و تلههای مورد بحث در اینجا بهطور یکسان برای هر زبان یا پلتفرم مدرن برنامهنویسی کاربرد دارند.
تنها پیشنیاز، درک پایهای از مفاهیم برنامهنویسی است. هیچ دانش امنیتی قبلی نیاز نیست.
این کتاب چگونه سازماندهی شده است: نقشهی راه
کتاب Software Security for Developers به پنج بخش تقسیم شده که هر کدام به جنبهی متفاوتی از امنیت برنامه میپردازد. این پیشروی عمدی است، زیرا امنیت زمانی بهبهترین شکل درک میشود که با «تصویر کلی» شروع کرده و سپس بهتدریج به سمت مکانیزمهای عینی، پروتکلها و تعاملات واقعی سرویسبهسرویس حرکت کنیم. شما میتوانید بخشها را بهطور مستقل بخوانید، اما دنبال کردن آنها به ترتیب، یک مدل ذهنی منسجم از نحوهی پیوند خوردن امنیتِ برنامههای مدرن به شما میدهد:
بخش ۱ – امنیت برنامه: تصویر کلی
ما با نگاه به امنیت برنامه به عنوان یک کل شروع میکنیم. این بخش از کتاب Software Security for Developers توضیح میدهد که امنیت برنامه به چه معناست، چرا اهمیت دارد و چگونه در سیستمهای نرمافزاری مدرن جای میگیرد. ما مفاهیم کلیدی مانند مرزهای اعتماد، مدلهای تهدید و مسئولیتهای امنیتی را معرفی میکنیم و استانداردهای رایج مورد استفاده برای احراز هویت و ارتباطات سرویسبهسرویس را مورد بحث قرار میدهیم. هدف، ایجاد بستر مناسب و همراستا کردن انتظارات پیش از غرق شدن در فناوریهای خاص است.
بخش ۲ – مبانی رمزنگاری
رمزنگاری زیربنای تقریباً تمام مکانیزمهای امنیتیِ مورد استفاده در امروز است، اما اغلب بد فهمیده شده یا بهاشتباه اعمال میشود. در این بخش از کتاب Software Security for Developers، ما بر اصول رمزنگاری آنطور که در سیستمهای واقعی استفاده میشود تمرکز میکنیم: تمامیت پیام، احراز هویت، رمزنگاری متقارن و رمزنگاری کلید عمومی. ما رویکردهای مبتنی بر RSA و منحنی بیضوی (Elliptic-curve) را بررسی میکنیم و بهجای جزئیات ریاضی، بر موارد استفادهی عملی، تضمینها و اشتباهات رایج تأکید داریم.
بخش ۳ – ایمنسازی کانالهای ارتباطی
هنگامی که مبانی رمزنگاری جایگذاری شدند، به سراغ ارتباطات امن میرویم. این بخش از کتاب Software Security for Developers شامل زیرساخت کلید عمومی (PKI)، گواهیهای X.509 و TLS است. شما یاد میگیرید که گواهیها چگونه صادر و مدیریت میشوند، چگونه اعتماد بین سیستمها برقرار میشود و TLS چگونه از دادهها در حین انتقال محافظت میکند. تمرکز بر درک این است که این مکانیزمها چه چیزی را تضمین میکنند — و چه چیزی را تضمین نمیکنند — تا بتوانید با اعتمادبهنفس دربارهی ارتباطات امن استدلال کنید.
بخش ۴ – احراز هویت و هویت مدرن
برنامههای مدرن بهندرت به احراز هویت ساده با نام کاربری و رمز عبور تکیه میکنند. در این بخش از کتاب Software Security for Developers، ما هویتهای معاصر و مکانیزمهای احراز هویت، از جمله JOSE (امضا و رمزنگاری اشیاء JSON)، OAuth 2.0، OpenID Connect (OIDC) و ورود یکپارچه (SSO) را بررسی میکنیم. ما همچنین رویکردهای بدون رمز عبور (Passwordless) مانند لینکهای جادویی، رمزهای عبور یکبار مصرف و WebAuthn را بررسی میکنیم. این بخش توضیح میدهد که جریانهای هویت چگونه بهصورت سرتاسری کار میکنند و در عمل معمولاً در کجا شکست میخورند.
بخش ۵ – ایمنسازی زنجیرههای فراخوانی سرویسبهسرویس
در نهایت، بر ایمنسازی ارتباط بین سرویسها در سیستمهای توزیعشده تمرکز میکنیم. این بخش از کتاب Software Security for Developers به هویت سرویس و تعیین سطح دسترسی در طول زنجیرههای فراخوانی میپردازد، از جمله مدلهای کنترل دسترسی مبتنی بر نقش (RBAC)، مبتنی بر ویژگی (ABAC) و مبتنی بر رابطه. تأکید بر طراحیِ تعیینِ دسترسی است که با پیچیدگی سیستم مقیاسپذیر باشد، از اعتماد ضمنی اجتناب کند و با تکامل سیستمها، همچنان قابل درک باقی بماند.
هر فصل کتاب Software Security for Developers بهگونهای طراحی شده که مستقل باشد و به شما اجازه دهد مستقیماً به سراغ موضوعاتی بروید که با کار فعلیتان مرتبط است. اما دنبال کردن این نقشهی راه به ترتیب، به شما کمک میکند تا درک کاملی از امنیت برنامه، از مفاهیم سطح بالا گرفته تا مکانیزمهای عینیِ مورد استفاده در سیستمهای توزیعشدۀ مدرن، به دست آورید.
سرفصلهای کتاب Software Security for Developers:
- Software Security for Developers
- copyright
- contents
- preface
- acknowledgments
- about this book
- about the authors
- about the cover illustration
- Part 1 Application security: The big picture
- 1 Making sense of application security
- 2 Standards for implementing authentication
- 3 Service-to-service communication
- Part 2 Cryptography foundations
- 4 Message integrity and authentication
- 5 Advanced Encryption Standard
- 6 Public key encryption and digital signatures: Unleashing RSA
- 7 Public key encryption and digital signatures: Using ECC
- Part 3 Securing communication channels
- 8 Public key infrastructure and X.509 digital certificates: Know who you’re talking to
- 9 Working with X.509 certificates: Life cycle and self-signing
- 10 Transport Layer Security: How the internet is secured
- Part 4 Modern authentication and identity
- 11 JSON Object Signing and Encryption
- 12 Single-sign on using OAuth2 and OpenID Connect
- 13 Deepening security with OpenID Connect
- 14 Passwordless login: Using magic links and one-time passwords
- 15 Passwordless login: WebAuthn and hardware authentication
- Part 5 Securing service-to-service call chains
- 16 Implementing service identity
- 17 Taming authorization: RBAC, ABAC, and ReBAC
- appendix. Installation and setup
جهت دانلود کتاب Software Security for Developers میتوانید پس از پرداخت، دریافت کنید.
دیدگاهها
هیچ دیدگاهی برای این محصول نوشته نشده است.