آموزش محافظت و امنیت در اپلیکیشن های ASP.NET Core یکی دیگر از آموزش های گروه آموزشی پرووید می باشد که در این قسمت آن را به شما معرفی می کنیم. این بسته آموزشی نیز یکی از دوره های آموزشی دیگر که در حوزه ی فارسی سازی آموزش های انگلیسی تنظیم شده است می باشد. عنوان این بسته آموزشی استفاده کردن از ابزار های تجزیه و تحلیل امنیتی برای محافظت از اپلیکشن های ASP.NET و ASP.NET Core است که با نام اصلی Using Security Analysis Tools to Protect ASP.NET and ASP.NET Core Applications از شرکت Pluralsight منتشر شده است.

مفهوم کلیدی در امنیت

دات نت، امنیتِ مبتنی برrole  را برای کمک به حل و فصل کردن نگرانی‌های امنیتی در مورد کد ارائه می‌کند، که component ها را قادر می‌سازد تعیین کنند که کاربران مجاز به انجام چه کاری هستند.

امنیت و Type safety

کد های type safety  فقط به مکان هایی از حافظه، که مجاز به دسترسی هستند، دسترسی دارند. برای مثال، کد type-safe نمی‌تواند مقادیر را از فیلدهای خصوصی آبجکت های دیگر بخواند و به Type ها از طریق از پیش تعریف شده دسترسی پیدا می کنند.

اگرچه تأیید Type-safe برای اجرای managed code اجباری نیست، اما نقش مهمی در جداسازی و مونتاژ و اجرای امنیت دارد. وقتی کد  Type-safe  است language runtime  می‌تواند assembly ها را کاملاً از یکدیگر جدا کند. این جداسازی کمک می کند تا اطمینان حاصل شود که assembly ها نمی توانند بر یکدیگر تأثیر منفی بگذارند و قابلیت اطمینان برنامه را افزایش می دهد. کامپوننت های Type-safe  می توانند با خیال راحت در یک فرآیند اجرا شوند و در سطوح مختلف مورد اعتماد باشند. وقتی که کد Type-safe  نیست، عوارض جانبی ناخواسته ممکن است رخ دهد. به عنوان مثال، runtime نمی تواند مانع از فراخوانی managed code در native code (managed نشده) شود. زمانی که کد از Type-safe  باشد، مکانیسم اجرای امنیت runtime تضمین می‌کند که به کد native دسترسی ندارد مگر اینکه مجوزی برای این کار داشته باشد.

سرفصل مطالب آموزش ویدئویی محافظت و امنیت در اپلیکیشن های ASP.NET Core

فصل اول: مقدمه دوره آموزشی

• مقدمه دوره آموزشی

فصل دوم: استفاده از Static Code Analysis (SCA)

• امنیت اپلیکیشن در Context
• مقدمه و بررسی مطالب فصل
• کدام آسیب پذیری ها قابل شناسایی هستند؟
• بررسی Option ها برای Static Code Analysis
• آموزش عملی: راه اندازی Security Code Scanning
• آموزش عملی: سرکوب کردن False Positive ها
• آموزش عملی: بررسی کردن Deep Scan و SQL Injection
• آموزش عملی: بررسی کردن پروژه NET Framework و فایل های Web.Config
• جمع بندی

فصل سوم: شناسایی آسیب پذیری های Library ها

• مقدمه و مرور کلی فصل
• بررسی Library ها و Framework ها در Context
• بررسی OWASP و NIST و NVD
• طبقه بندی آسیب پذیری ها
• گزینه‌هایی برای اسکن آسیب‌پذیری بسته
• اسکن کردن NuGet Packag ها با NuGetDefense
• گزینه های پیکربندی با NuGetDefense
• اسکن کردن پکیج های جاوا اسکریپت با استفاده از npm audit
• جمع بندی

فصل چهارم: افزودن SCA و Vulnerable Library Detection برای Build Pipeline ها

• مقدمه
• تعریف Continuous Integration
• آموزش عملی و ایجاد Azure DevOps Build Pipeline
• آموزش عملی: بررسی Azure DevOps Build Pipeline
• آموزش عملی: بررسی Continuous Integration در Azure DevOps و Build Result ها
• آموزش عملی: اضافه کردن npm audit به Azure DevOps Pipeline
• آموزش عملی: بررسی Azure DevOps Pipeline مربوط به NET Core و YAML
• آموزش عملی: راه اندازی یک GitHub Action در (ASP.NET Framework)
• آموزش عملی: اضافه کردن مراحل npm به یک GitHub Actions
• آموزش عملی: بررسی NET Core GitHub Actions
• مفاهیم اساسی برای Build Pipeline ها
• جمع بندی کلی