کوزه شکسته یک توسعه‌دهنده وب

امروز همایش سوم نرم‌افزار آزاد/متن‌باز در زنجان آغاز شد و من هم یه ارایه درباره امنیت و نرم‌افزار متن‌باز داشتم.

Continue reading “امنیت و نرم‌افزار متن‌باز” »

خب! امروز می‌خوام یه سری نکاتی رو بگم که در اول پروژه‌های نرم‌افزاری می‌تونه بسیار در موفقیتش نقش ایفا کنه.

اگر چه انتخاب یه ابزار خوب برای توسعه، موفقیت پروژه رو تضمین نمی‌کنه اما خب انتخاب اشتباه به احتمال زیاد فاجعه را به همراه خواهد داشت. همین‌طوری پروژه‌های نرم‌افزاری به اندازه کافی ریسکی هستن حالا حساب کنید که مخاطره انتخاب فناوری اشتباهی رو هم بخوایم بهش اضافه کنیم.

Continue reading “ده فرمان برای جلوگیری از انتخاب نادرست ابزار توسعه” »

رفقای خوب و عزیزم! بدنیست این نکات رو به هنگام کد زدن در نظر داشته باشیم تا علاوه بر افزودن به کیفیت کد و محصول نهایی، از لحاظ امنیتی هم گام مناسبی برداشته باشیم.

منبع این مطلب یکی از معتبرترین مراجع امنیت حوزه نرم‌افزار یعنی CERT دانشگاه کارنگی ملون است.

Continue reading “۱۰ نکته برتر در کدنویسی امن” »

داشتم مقالات روزانه‌ام رو که به پست‌الکترونیکم ارسال می‌شه رو مطالعه می‌کردم که با یه مقاله بسیار جذاب برخورد کردم. همیشه می‌شنویم که بازار سیاهی برای فروش اطلاعات محرمانه و آسیب‌پذیری‌های ناشناخته (zero-day) وجود داره، اما تا حالا کسی به صورت جدی به این موضوع نپرداخته. این مقاله اشاره‌ای به حجم سرمایه و طالبان این گونه اطلاعات داره.

Continue reading “حدس بزنید خریدار آسیب‌پذیری‌های zero-day چه کسانی هستند؟” »

هر چه به تعداد کاربران یک ابزار و فناوری افزوده شود، به همان میزان هم توجه هکرها با نگرش‌های مختلف نیز به آن دوخته می‌شود. با گسترش روزافزون کاربران و دستگاه‌های سیستم‌عامل متن‌باز و به اصطلاح آزاد آندروید، آمار بدافزارهای نیز به صورت تصاعدی افزایش یافته است.

براساس آخرین ارزیابی‌های انجام شده توسط F-Secure میان سه‌ماهه اول ۲۰۱۱ و سه‌ماهه اول ۲۰۱۲ آمار گونه‌های بدافزارهای آندروید از ۱۰ به ۳۷ و تعداد بدافزارهای آن از ۱۳۰ به ۳۰۶۹ افزایش هشداردهنده‌ای داشته است.

Continue reading “هشدار: افزایش ۴ برابری بدافزارهای آندورید تنها در یک سال” »

در گام پنجم شما تعیین نمودید که در چه وضعیتی به سر می‌برید و در گام ششم باید تعیین کنید که می‌خواهید کجا باشید.

Continue reading “گام ششم – ایجاد مبنای مورد انتظار” »

برای شناسایی سطح آسیب‌پذیری و سطح تهدید جاری، ارزیابی اولیه باید انجام شود. نوع و عمق ارزیابی بستگی به حوزه‌ی آسیب‌پذیری‌هایی دارد که می‌خواهید شناسایی نمایید. آسیب‌پذیری‌های درون سیستم‌عامل، برنامه‌های کاربردی، جریان ترافیک شبکه، کارمندان و فرآیندها. Continue reading “گام پنجم – ارزیابی و مبنا” »

بالاخره بعد از مدتها دوباره فرصت شد تا ادامه کار رو روی سایت قرار بدم. نمیخواستم این همه فاصله بی‌افته؛ اما چه کنیم که نمیشه.
خب، در گام‌های قبلی فهرستی از دارایی‌ها تهیه کردید و نقش و تاثیر هر کدام را از منظر سازمان معین نمودید. حال باید معیارهای سنجش رو نیز مشخص کنید که در ادامه به آن اشاره می‌کنم.

Continue reading “گام چهارم – تعیین معیارها” »

بسیار خب در گام قبلی فهرست کاملی از تمامی دارایی‌های سازمان تهیه کردیم. در این گام فعالیت اصلی، تعیین نقش هر یک دارایی‌ها است. در دنیای امروز که اکثر فعالیت‌ها ماشینی شده است، پرواضح است که می‌توان اهمیتی خاصی را برای هر یک از تجهیزات قایل شد و در برخی از موارد (که اگر از کلمه اکثر استفاده کنم اغراق نکرده‌ام) دارای درجه اهمیت بالاتری هست.

پس در این گام باید نقش‌(های) هر دارایی در سازمان مشخص شود که در ادامه نقش هر یک به درک تاثیر بر روی کسب و کار کمک شایانی خواهد کرد. برای مثال اگر یک وب سرور از کار بی‌افتد نسبت به آن که سیستم Core Banking از کار بی‌افتد تاثیر بسیار کمتری خواهد داشت. البته تاثیرات برای هر سازمان متفاوت است.

Continue reading “گام سوم مدیریت آسیب‌پذیری – نقش دارایی‌ها” »

پس از تعیین نقش‌ها و مسئولیت‌ها در گام اول مدیریت آسیب‌پذیری نوبت به تهیه فهرست دارایی‌ها (asset) می‌رسه

در این گام شما مشخص می‌کنید که چه دارید و از همه مهم‌تر مشخص می‌کنید که چه باید امن شود و سپس به نحوه‌ی چگونگی امن کردن آن می‌پردازید. شاید در وحله‌ی اول آن را فعالیتی ساده تلقی کنید اما برعکس می‌تواند عملی عظیم برای بسیاری از سازمان‌ها باشد[۱]. معمولا داده‌های مهم در مکان‌های پراکنده‌ای از شبکه‌ی سازمان قرار دارند و شبکه به صورت نامناسب و مستند نشده رشد می‌کند که می‌تواند به این سختی بیافزارد.

Continue reading “گام دوم مدیریت آسیب‌پذیری – تهیه فهرست دارایی‌ها” »