تطوير الأمان
تحميل الملف التعريفي للدورة
في الساحة الرقمية الحالية، يجب على المؤسسات بناء الأمان بشكل استباقي في عمليات تطويرها لحماية البيانات الحساسة والأنظمة والبنية التحتية من التهديدات السيبرانية. يقدم هذا الدورة نهجاً شاملاً لتطوير البرمجيات الآمنة، وأمان التطبيقات، وإدارة المخاطر. سيكتسب المشاركون الخبرة العملية في ممارسات البرمجة الآمنة، وتكامل DevSecOps، ونمذجة التهديدات، واختبار اختراق الأنظمة، ومعايير الامتثال لضمان الأمان القوي على طول دورة حياة تطوير البرمجيات.
Course Objectives By the end of this course, participants will:
-
فهم أساسيات التطوير الآمن والأمن السيبراني.
-
تطبيق ممارسات البرمجة الآمنة للحد من الثغرات.
-
تعلم منهجيات DevSecOps والتشغيل الآلي للأمان.
-
قم بتنفيذ نمذجة التهديدات، اختبار الاختراق، ومراجعة الشفرة.
-
تطبيق تقنيات التشفير والمصادقة والتحكم في الوصول.
-
الامتثال لمعايير الأمان الصناعية مثل OWASP و ISO 27001 و NIST.
-
بناء دورة حياة تطوير البرمجيات الآمنة (SSDLC).
من ينبغي أن يحضر:
هذه الدورة مثالية لـ:
- مطوري البرمجيات والمهندسين.
- محترفو DevOps و DevSecOps.
- متخصصون في الأمن السيبراني والمتسللون الأخلاقيون.
- محللو أمن تكنولوجيا المعلومات وضباط الامتثال
- مختبرون لضمان الجودة ومهندسو أمن التطبيقات.
الخطة التدريبية للدورة
اليوم الأول: مقدمة في التطوير الآمن
- فهم التهديدات السيبرانية وأنماط الهجمات.
- الثغرات الأمنية الشائعة في البرامج (حقن SQL، XSS، CSRF، RCE، وما إلى ذلك).
- دورة حياة تطوير الأمان (SDL) ومبادئ تصميم البرمجيات الآمنة.
- مقدمة إلى قائمة OWASP العشر الأوائل وإطار عمل MITRE ATT&CK.
- تمرين عملي: تحديد المخاطر الأمنية في الشيفرة.
يوم ٢: ممارسات الترميز الآمن ومراجعة الشفرة
- كتابة رمز آمن: أفضل الممارسات لتطبيقات الويب والهواتف المحمولة.
- اختبار الأمان الثابت والديناميكي للتطبيقات (SAST & DAST).
- أدوات فحص الشفرة الآلية للأمان (SonarQube، Checkmarx، إلخ).
- معايير البرمجة الآمنة: إرشادات OWASP وCERT وNIST.
- ورشة عمل: مراجعة الشيفرة الآمنة وإصلاح الثغرات.
يوم ٣: المصادقة، التفويض ومراقبة الوصول
- آليات المصادقة الآمنة (MFA، OAuth، SAML، JWT).
- مبدأ التحكم في الوصول القائم على الأدوار (RBAC) ومبدأ أقل الامتيازات.
- نموذج الأمان بدون ثقة وإدارة الهوية.
- إدارة الجلسة والتعامل الآمن مع الرموز.
- مختبر عملي: تنفيذ المصادقة الآمنة ونموذج إدارة الوصول على أساس الأدوار.
يوم ٤: تشفير البيانات وأمان المعلومات
- أساسيات التشفير (AES، RSA، SHA، ECC، إلخ).
- تخزين البيانات ونقلها بشكل آمن (TLS/SSL، VPN، تشفير من الطرف إلى الطرف).
- أمان قواعد البيانات والحماية ضد هجمات حقن SQL.
- تقنيات مراقبة سلامة الملفات وتقنيات تشويش البيانات
- ورشة عمل: تنفيذ التشفير في التطبيقات.
اليوم الخامس: تطوير آمن لعمليات التشغيل (DevSecOps) والتشغيل التلقائي
- دمج الأمان في أنابيب CI/CD.
- بنية تحتية كـ رمز (IaC) وإدارة التكوين الآمنة.
- أتمتة الأمان باستخدام Ansible وTerraform وKubernetes.
- تسجيل الأمان، المراقبة واستجابة الحوادث.
- تمرين عملي: أتمتة الأمان في سير عمل DevOps.
اليوم السادس: أمن الويب وواجهات برمجة التطبيقات
- حماية تطبيقات الويب من الهجمات الإلكترونية.
- أفضل ممارسات أمان واجهة برمجة التطبيقات (OAuth، وبوابة API، وتحديد المعدل، وJWT).
- سياسة أمان المحتوى (CSP) والرؤوس الآمنة.
- ورشة عمل عملية: تأمين واجهات برمجة التطبيقات REST و GraphQL.
يوم ٧: تصميم نماذج التهديد واختبار الاختراق
- مقدمة إلى أطر نمذجة التهديدات (STRIDE، DREAD، PASTA).
- تقنيات اختبار الاختراق اليدوية والآلية.
- استخدام أدوات الاختراق الأخلاقي (Burp Suite، Metasploit، Nmap، إلخ).
- اختبار الأمان بين الفريق الأحمر والفريق الأزرق.
- ورشة عمل: إجراء تقييم أمني على تطبيق.
يوم 8: الامتثال الأمني وإدارة المخاطر
- التنظيمات والامتثال الأمني السيبراني (ISO 27001، GDPR، NIST، PCI-DSS).
- تقييم مخاطر الأمن وتحليل تأثير الأعمال.
- تطوير خطة الاستجابة للحوادث والتعافي من الكوارث.
- دراسة حالة: تنفيذ الامتثال في المشاريع الواقعية.
يوم ٩: أمان السحابة وأمان الحاوية
- تأمين بيئات السحاب (AWS، Azure، GCP).
- إدارة الهوية والوصول (IAM) في السحابة.
- تأمين الحاويات وكوبرنيتس.
- إدارة موقف أمان السحابة (CSPM) والثقة الصفرية في السحابة.
- ورشة عمل عملية: تنفيذ ضوابط الأمان في البنية التحتية السحابية.
اليوم العاشر: المشروع النهائي والشهادة
- مشروع التخرج: تنفيذ ممارسات التطوير الآمنة.
- التقييم الأمني النهائي وملاحظات الخبراء.
- حفل تكريم الشهادات وتطوير الحياة المهنية في هندسة الأمن.
- الأسئلة والأجوبة والاتجاهات المستقبلية في تطوير البرمجيات الآمنة.