🎓 دوره آموزشی جامع

📚 اطلاعات دوره

عنوان دوره: از طراحی تا استقرار: آموزش جامع Building Secure Software جان ویگا

موضوع کلی: امنیت نرم‌افزار

موضوع میانی: اصول و مبانی امنیت نرم‌افزار

📋 سرفصل‌های دوره (100 موضوع)

• 1. مقدمه‌ای بر امنیت نرم‌افزار: چرا این دوره مهم است؟
• 2. نگاهی جامع به چرخه عمر توسعه نرم‌افزار امن (SSDLC)
• 3. مفاهیم کلیدی: آسیب‌پذیری، تهدید، ریسک، بهره‌برداری، حمله
• 4. سه‌گانه CIA: محرمانگی، یکپارچگی، در دسترس بودن
• 5. ذهنیت مهاجم: چگونه فکر می‌کنند؟
• 6. شناخت سطوح حمله (Attack Surface)
• 7. معرفی کتاب "Building Secure Software" و رویکرد آن
• 8. اصل حداقل امتیاز: چرا هرگز بیشتر از نیاز دسترسی ندهیم؟
• 9. اصل دفاع در عمق: چندلایه کردن امنیت
• 10. اصل Fail-Safe Defaults: پیش‌فرض‌های امن
• 11. اصل اقتصاد مکانیزم‌ها: سادگی، شفافیت و کوچکی
• 12. اصل جداسازی امتیازات: تقسیم وظایف امنیتی
• 13. اصل طراحی باز: عدم اتکا بر پنهان‌کاری برای امنیت
• 14. اصل عدم اعتماد به ورودی: همه ورودی‌ها مشکوک هستند
• 15. مدیریت اعتماد: مرزهای اعتماد و مناطق عدم اعتماد
• 16. معماری امنیتی: طراحی زیربنای امن سیستم
• 17. جداسازی و کپسوله‌سازی امنیتی
• 18. مدل‌سازی تهدید: یک دید کلی
• 19. چرا مدل‌سازی تهدید ضروری است؟
• 20. مراحل مدل‌سازی تهدید: شناسایی، تجزیه و تحلیل، کاهش
• 21. تکنیک STRIDE: دسته‌بندی تهدیدات امنیتی
• 22. کاربرد STRIDE در شناسایی تهدیدات طراحی
• 23. دیاگرام‌های جریان داده (DFD) در مدل‌سازی تهدید
• 24. شناسایی دارایی‌ها، مهاجمان و اهداف حمله
• 25. تعیین ریسک و اولویت‌بندی با متد DREAD
• 26. مدل‌سازی تهدید در فازهای مختلف توسعه نرم‌افزار
• 27. اعتبارسنجی ورودی: قلب امنیت نرم‌افزار
• 28. White-listing در برابر Black-listing برای اعتبارسنجی
• 29. اعتبارسنجی خروجی و Encoding: جلوگیری از حملات XSS
• 30. مدیریت خطا و استثنائات امن: اطلاعات حساس را فاش نکنید
• 31. کنترل جریان برنامه: جلوگیری از پرش‌های ناخواسته
• 32. مدیریت امن حافظه: جلوگیری از سرریز بافر
• 33. تشخیص و پیشگیری از سرریز بافر مبتنی بر پشته
• 34. تشخیص و پیشگیری از سرریز بافر مبتنی بر هیپ (Heap-based Buffer Overflow)
• 35. جلوگیری از سرریز عدد صحیح و مخاطرات آن
• 36. برنامه‌نویسی با کمترین امتیاز (Least Privilege) در کد
• 37. استفاده امن از توابع و APIهای سیستم
• 38. مدیریت امن رشته‌ها و توابع مربوطه
• 39. دسترسی امن به فایل‌ها و دایرکتوری‌ها
• 40. اجرای امن کد با Sandbox و Containerization
• 41. استفاده از تصادفی‌سازی امن و تولید اعداد رندوم
• 42. مدیریت زمان و آسیب‌پذیری‌های Race Condition
• 43. برنامه‌نویسی امن در محیط‌های چندنخی
• 44. حملات Command Injection: جلوگیری و شناسایی
• 45. آسیب‌پذیری SQL Injection: ریشه‌ها و راه‌های پیشگیری
• 46. استفاده از Prepared Statements و پارامترسازی برای SQL Injection
• 47. حملات Cross-Site Scripting (XSS): انواع و دفاع
• 48. Content Security Policy (CSP): لایه‌ای برای دفاع در برابر XSS
• 49. حملات Cross-Site Request Forgery (CSRF): مکانیزم‌ها و پیشگیری
• 50. توکن‌های Anti-CSRF و SameSite Cookies
• 51. آسیب‌پذیری Insecure Direct Object References (IDOR)
• 52. کنترل دسترسی شکسته (Broken Access Control): مشکلات رایج
• 53. پیاده‌سازی صحیح کنترل دسترسی بر اساس نقش (RBAC)
• 54. پیاده‌سازی صحیح کنترل دسترسی مبتنی بر ویژگی (ABAC)
• 55. آسیب‌پذیری‌های احراز هویت: ضعف در مدیریت رمز عبور
• 56. ذخیره‌سازی امن رمز عبور: هشینگ و Salt
• 57. احراز هویت چند عاملی (MFA): یک ضرورت امنیتی
• 58. مدیریت نشست امن: توکن‌ها و کوکی‌ها
• 59. آسیب‌پذیری‌های پیکربندی اشتباه امنیتی (Security Misconfiguration)
• 60. Hardening سرورها و محیط‌های اجرایی
• 61. افشای اطلاعات حساس (Sensitive Data Exposure): حفاظت از داده‌ها
• 62. رمزنگاری داده در حال انتقال (Data in Transit) با TLS/SSL
• 63. رمزنگاری داده در حال سکون (Data at Rest)
• 64. آسیب‌پذیری‌های XML External Entities (XXE)
• 65. حملات Deserialization ناامن: چالش‌ها و دفاع
• 66. آسیب‌پذیری‌های File Upload: کنترل دقیق ورودی
• 67. حملات Server-Side Request Forgery (SSRF)
• 68. حملات Open Redirect: مخاطرات تغییر مسیر
• 69. آسیب‌پذیری‌های Directory Traversal (Path Traversal)
• 70. استفاده از کامپوننت‌های دارای آسیب‌پذیری شناخته شده (SCA)
• 71. مدیریت وابستگی‌ها و به‌روزرسانی‌های امنیتی
• 72. مقدمه‌ای بر رمزنگاری: مفاهیم پایه
• 73. الگوریتم‌های رمزنگاری متقارن: AES، DES
• 74. الگوریتم‌های رمزنگاری نامتقارن: RSA، ECDSA
• 75. توابع هش رمزنگاری: SHA-256، SHA-3
• 76. امضای دیجیتال: اعتبار و عدم انکار
• 77. زیرساخت کلید عمومی (PKI) و گواهی‌نامه‌های دیجیتال
• 78. مدیریت کلید رمزنگاری: تولید، ذخیره و انقضا
• 79. انتخاب الگوریتم‌های رمزنگاری مناسب و پیاده‌سازی صحیح
• 80. پروتکل‌های امن ارتباطی: TLS 1.3
• 81. تست امنیت نرم‌افزار در طول SSDLC
• 82. تحلیل استاتیک امنیت نرم‌افزار (SAST): ابزارها و کاربرد
• 83. تحلیل دینامیک امنیت نرم‌افزار (DAST): ابزارها و کاربرد
• 84. تست نفوذ (Penetration Testing): شبیه‌سازی حملات واقعی
• 85. تست امنیت ترکیبی (IAST) و تست امنیت تعاملی (RASP)
• 86. بازبینی دستی کد: یافتن ظرافت‌های امنیتی
• 87. تست فازینگ (Fuzzing): کشف نقاط ضعف غیرمنتظره
• 88. تحلیل ترکیبات نرم‌افزاری (SCA): شناسایی کامپوننت‌های آسیب‌پذیر
• 89. نوشتن تست‌های امنیتی واحد (Unit Security Tests)
• 90. ادغام تست‌های امنیتی در چرخه CI/CD
• 91. لاگ‌برداری و مانیتورینگ امن: مشاهده و ثبت رویدادها
• 92. ثبت رویدادهای امنیتی (Security Logging): چه چیزهایی را لاگ کنیم؟
• 93. مانیتورینگ فعال (Active Monitoring) و هشداردهی
• 94. تجزیه و تحلیل لاگ‌ها و سیستم‌های SIEM
• 95. مدیریت وصله‌های امنیتی (Patch Management)
• 96. به‌روزرسانی‌های امنیتی مستمر و خودکارسازی
• 97. طرح واکنش به حادثه (Incident Response Plan): آمادگی برای بدترین‌ها
• 98. مراحل واکنش به حادثه: شناسایی، مهار، ریشه‌کن کردن، بازیابی
• 99. امنیت در محیط‌های ابری: نکات کلیدی
• 100. آینده امنیت نرم‌افزار: روندهای جدید و چالش‌ها

از طراحی تا استقرار: آموزش جامع Building Secure Software جان ویگا

نرم‌افزار امن بسازید، نه اینکه فقط آن را امن کنید!

معرفی دوره: چرا امنیت نرم‌افزار دیگر یک انتخاب نیست؟

در دنیای دیجیتال امروز، یک خط کد آسیب‌پذیر می‌تواند به قیمت اعتبار، سرمایه و اعتماد مشتریان یک شرکت تمام شود. سال‌هاست که تیم‌های توسعه، نرم‌افزار را با تمرکز بر قابلیت‌ها و سرعت می‌سازند و امنیت را به عنوان یک مرحله نهایی و جداگانه در نظر می‌گیرند؛ یک وصله‌ی امنیتی که در آخرین لحظه به محصول اضافه می‌شود. این رویکرد منسوخ و خطرناک، دلیل اصلی بسیاری از نفوذهای امنیتی بزرگ در سال‌های اخیر بوده است.

کتاب “Building Secure Software” نوشته جان ویگا و گری مک‌گرا، یک اثر انقلابی بود که این پارادایم را برای همیشه تغییر داد. این کتاب که به عنوان یکی از مراجع اصلی امنیت نرم‌افزار شناخته می‌شود، یک حقیقت ساده اما قدرتمند را بیان می‌کند: امنیت باید در DNA نرم‌افزار و در تمام مراحل چرخه حیات توسعه (SDLC) تنیده شود. دوره آموزشی “از طراحی تا استقرار” با الهام مستقیم از این کتاب جریان‌ساز، یک نقشه راه عملی و جامع برای پیاده‌سازی این فلسفه در دنیای واقعی ارائه می‌دهد. این دوره به شما یاد می‌دهد که چگونه از یک “واکنش‌دهنده” به تهدیدات، به یک “معمار” نرم‌افزار امن تبدیل شوید.

ما مفاهیم بنیادی این کتاب مرجع را گرفته و آن را با مثال‌های امروزی، تکنیک‌های مدرن و ابزارهای کاربردی به‌روز کرده‌ایم تا دانشی عمیق و در عین حال کاملاً عملی به دست آورید. این دوره فقط تئوری نیست؛ بلکه یک کارگاه فشرده برای ساختن سپرهای امنیتی در هر لایه از محصول شماست.

درباره دوره: فراتر از یک کتاب، یک تجربه عملی

این دوره ترجمه یا خلاصه‌ی صرف کتاب “Building Secure Software” نیست. ما روح و استراتژی اصلی کتاب را به عنوان ستون فقرات دوره حفظ کرده‌ایم و آن را با تجربیات عملی، مطالعات موردی (Case Studies) و پروژه‌های واقعی غنی ساخته‌ایم. هدف ما این است که شما نه تنها “چه چیزی” مهم است را بدانید، بلکه “چگونه” آن را در پروژه‌های روزمره خود پیاده‌سازی کنید.

در این سفر آموزشی، شما یاد می‌گیرید که چگونه مانند یک هکر فکر کنید تا بتوانید نقاط ضعف را قبل از آنکه دیگران پیدا کنند، شناسایی و برطرف نمایید. از فاز ایده‌پردازی و طراحی گرفته تا کدنویسی، تست و استقرار، ما به شما نشان می‌دهیم که در هر مرحله چه تصمیمات امنیتی باید بگیرید تا محصول نهایی یک دژ مستحکم باشد، نه یک خانه پوشالی.

موضوعات کلیدی که در این دوره فرا خواهید گرفت:

• مدل‌سازی تهدید (Threat Modeling): یادگیری شناسایی تهدیدات پیش از نوشتن حتی یک خط کد.
• اصول طراحی امن (Secure Design Principles): طراحی معماری‌هایی که به طور پیش‌فرض امن هستند (مانند دفاع در عمق و اصل حداقل امتیاز).
• کدنویسی تدافعی (Defensive Coding): نوشتن کدهایی که در برابر ورودی‌های مخرب و شرایط غیرمنتظره مقاوم باشند.
• اعتبارسنجی ورودی (Input Validation): ساختن دروازه‌های نفوذناپذیر برای داده‌های ورودی از سمت کاربر.
• رمزنگاری کاربردی (Applied Cryptography): استفاده صحیح از الگوریتم‌های رمزنگاری برای حفاظت از داده‌ها در حالت سکون و در حال انتقال.
• مدیریت احراز هویت و دسترسی (Authentication & Authorization): پیاده‌سازی مکانیزم‌های قدرتمند برای کنترل اینکه “چه کسی” به “چه چیزی” دسترسی دارد.
• تست امنیتی (Security Testing): ادغام تست‌های امنیتی استاتیک (SAST) و داینامیک (DAST) در فرآیند CI/CD.
• مدیریت آسیب‌پذیری‌ها: شناسایی، ارزیابی و رفع آسیب‌پذیری‌های رایج مانند موارد موجود در لیست OWASP Top 10.

این دوره برای چه کسانی طراحی شده است؟

این دوره برای تمام افرادی که در فرآیند تولید و نگهداری نرم‌افزار نقش دارند، یک منبع ضروری است:

• توسعه‌دهندگان نرم‌افزار (Backend, Frontend, Full-Stack): که می‌خواهند کدی بنویسند که نه تنها کار می‌کند، بلکه امن هم هست.
• معماران نرم‌افزار و مدیران فنی: که مسئولیت طراحی سیستم‌های بزرگ و پایدار را بر عهده دارند.
• مهندسان DevOps و DevSecOps: که به دنبال ادغام امنیت در پایپ‌لاین‌های اتوماتیک خود هستند.
• متخصصان تضمین کیفیت (QA) و تسترها: که می‌خواهند مهارت‌های خود را به حوزه تست امنیت گسترش دهند.
• کارشناسان امنیت سایبری: که قصد دارند درک عمیق‌تری از ریشه آسیب‌پذیری‌ها در فرآیند توسعه پیدا کنند.
• دانشجویان و علاقه‌مندان به حوزه نرم‌افزار: که می‌خواهند از ابتدای مسیر حرفه‌ای خود، با بهترین شیوه‌ها کار کنند.

چرا باید در این دوره شرکت کنید؟ (مزیت‌های شما)

گذراندن این دوره یک سرمایه‌گذاری مستقیم روی آینده حرفه‌ای شما و امنیت پروژه‌هایتان است:

1. کسب نگرش پیشگیرانه: به جای اطفاء حریق پس از وقوع حمله، یاد می‌گیرید که چگونه از ابتدا دیوارهای ضدحریق بسازید. این نگرش شما را به یک مهندس ارزشمندتر تبدیل می‌کند.
2. افزایش چشمگیر ارزش حرفه‌ای: متخصصانی که امنیت نرم‌افزار را درک می‌کنند، در بازار کار امروز تقاضای بسیار بالایی دارند و درآمد بیشتری کسب می‌کنند. این دوره یک مزیت رقابتی قدرتمند برای شماست.
3. کاهش هزینه‌ها و ریسک‌ها: رفع یک آسیب‌پذیری در فاز طراحی، صدها برابر کم‌هزینه‌تر از رفع همان مشکل پس از استقرار محصول و وقوع یک نشت اطلاعاتی است. شما به سازمان خود کمک می‌کنید تا میلیون‌ها تومان صرفه‌جویی کند.
4. یادگیری از بهترین منبع: شما عصاره یکی از معتبرترین کتاب‌های امنیت نرم‌افزار جهان را به همراه مثال‌های عملی و به‌روز دریافت می‌کنید. یک مسیر یادگیری ساختاریافته که شما را از سردرگمی در میان منابع پراکنده نجات می‌دهد.
5. اعتماد به نفس در ساخت محصول: با اطمینان خاطر کد بزنید و محصولی را تحویل دهید که می‌دانید در برابر حملات رایج مقاوم است. این آرامش ذهنی است.

سرفصل‌های دوره: سفری جامع در دنیای امنیت نرم‌افزار

این دوره با بیش از ۱۰۰ سرفصل دقیق و کاربردی، تمام جنبه‌های ساخت نرم‌افزار امن را پوشش می‌دهد. ما از مفاهیم پایه‌ای شروع کرده و قدم به قدم به مباحث پیشرفته می‌رسیم. برخی از فصل‌های اصلی دوره عبارتند از:

• فصل اول: مقدمه‌ای بر امنیت نرم‌افزار و تغییر پارادایم فکری
• فصل دوم: تحلیل ریسک و مدل‌سازی تهدید (STRIDE & DREAD)
• فصل سوم: اصول طراحی امن: دفاع در عمق، حداقل امتیاز و سطح حمله
• فصل چهارم: رمزنگاری کاربردی برای توسعه‌دهندگان (Hashing, Encryption, Digital Signatures)
• فصل پنجم: مدیریت ورودی‌ها: مقابله با حملات Injection (SQLi, XSS, Command Injection)
• فصل ششم: احراز هویت (Authentication): پسوردها، MFA و پروتکل‌های مدرن
• فصل هفتم: مدیریت نشست (Session Management) و جلوگیری از ربودن آن
• فصل هشتم: کنترل دسترسی (Authorization): مدل‌های ABAC, RBAC و اشتباهات رایج
• فصل نهم: آسیب‌پذیری‌های رایج دیگر (CSRF, SSRF, Insecure Deserialization)
• فصل دهم: تست امنیتی در چرخه حیات نرم‌افزار (SAST, DAST, IAST, Penetration Testing)
• فصل یازدهم: امنیت APIها و میکروسرویس‌ها
• فصل دوازدهم: استقرار، نگهداری و مانیتورینگ امن (Secure Deployment & Monitoring)
• فصل سیزدهم: ایجاد فرهنگ امنیت در تیم و سازمان

امروز اولین قدم را برای تبدیل شدن به یک متخصص امنیت نرم‌افزار بردارید و آینده شغلی خود را تضمین کنید. به جمع ما بپیوندید!

📚 محتوای این محصول آموزشی (پکیج کامل)

🎁 محتویات کامل بسته دانلودی

• ویدیوهای آموزشی فارسی — آموزش قدم‌به‌قدم، کاربردی و قابل فهم
• پادکست‌های صوتی فارسی — توضیح مفاهیم کلیدی و نکات تکمیلی
• کتاب PDF فارسی — شامل کلیهٔ سرفصل‌ها و محتوای آموزشی
• کتاب خلاصه نکات ویدیوها و پادکست‌ها – نسخه PDF — مناسب مرور سریع و جمع‌بندی مباحث
• کتاب صدها نکته فارسی (خودمونی) – نسخه PDF — زبان ساده و کاربردی
• کتاب صدها نکته رسمی فارسی – نسخه PDF — نگارش استاندارد، علمی و مناسب چاپ
• کتاب صدها پرسش و پاسخ تشریحی – نسخه PDF
  — هر سؤال بلافاصله همراه با پاسخ کامل و شفاف ارائه شده است؛ مناسب درک عمیق مفاهیم و رفع ابهام.
• کتاب صدها پرسش و پاسخ چهارگزینه‌ای – نسخه PDF (نسخه یادگیری سریع)
  — پاسخ‌ها بلافاصله پس از سؤال قرار دارند؛ مناسب یادگیری سریع و تثبیت مطالب.
• کتاب صدها پرسش و پاسخ چهارگزینه‌ای – نسخه PDF (نسخه خودآزمایی پایان‌بخش)
  — پاسخ‌ها در انتهای هر بخش آمده‌اند؛ مناسب آزمون واقعی و سنجش میزان یادگیری.
• کتاب تمرین‌های درست / نادرست (True / False) – نسخه PDF
  — مناسب افزایش دقت مفهومی و تشخیص صحیح یا نادرست بودن گزاره‌ها.
• کتاب تمرین‌های جای خالی – نسخه PDF
  — تقویت یادگیری فعال و تسلط بر مفاهیم و اصطلاحات کلیدی.

🎯 این بسته یک دورهٔ آموزشی کامل و چندلایه است؛ شامل آموزش تصویری، صوتی، کتاب‌ها، تمرین‌ها و خودآزمایی .

---

ℹ️ نکات مهم هنگام خرید

• این محصول به صورت فایل دانلودی کامل ارائه می‌شود و نسخهٔ چاپی ندارد.
• تمامی فایل‌ها و کتاب‌ها کاملاً فارسی هستند.
• توجه: لینک‌های اختصاصی دوره طی ۴۸ ساعت پس از ثبت سفارش ارسال می‌شوند.
• نیازی به درج شماره موبایل نیست؛ اما برای پشتیبانی سریع‌تر توصیه می‌شود.
• در صورت بروز مشکل در دانلود با شماره 09395106248 تماس بگیرید.
• اگر پرداخت انجام شده ولی لینک‌ها را دریافت نکرده‌اید، نام و نام خانوادگی و نام محصول را پیامک کنید تا لینک‌ها دوباره ارسال شوند.

💬 راه‌های ارتباطی پشتیبانی:
واتس‌اپ یا پیامک: 09395106248
تلگرام: @ma_limbs