منذ 9 ساعات
أهلا بك عزيزي المتابع لموقع (journey for learn) نقدم دورات بكوبونات متاحة لاول 1000 تسجيل مجاني فقط وكوبونات اخري لفترة محدودة فاذا كنت تريد ان تحصل علي كل الكورسات علي موقعنا وان تكون اول المسجلين في الكورسات المجانية قم بتسجيل الدخول أوقم بالدخول علي وسائل التواصل الاجتماعي وخصوصا التليجرام نوضح الوصف المختصر والطويل للدورات لكي تعرف الدروس التي سوف تتعلمها بسهولة ويسر :
أسئلة وأجوبة التدريب على مقابلة DevSecOps هي المورد النهائي الذي صممته للمهندسين الذين يرغبون في تجاوز الأتمتة الأساسية وإتقان فن دمج الأمان في كل مرحلة من مراحل دورة حياة التطوير. أعلم مدى صعوبة مواكبة المشهد الأمني المتغير، لذلك قمت بصياغة اختبارات التدريب هذه بدقة لتغطية كل شيء بدءًا من نمذجة التهديدات وأفضل 10 OWASP إلى أمان Kubernetes المعقد والدفاع الآلي عن سلسلة التوريد. سواء كنت تستعد لمقابلة فنية عالية المخاطر أو للحصول على شهادة مهنية، فأنا أقدم تفسيرات متعمقة لكل خيار على حدة - وليس فقط الخيار الصحيح - لضمان فهمك "السبب" وراء كل عنصر تحكم أمني. هدفي هو مساعدتك في بناء عقلية تضع الأمان أولاً وتتجاوز الحفظ عن ظهر قلب، مما يمنحك الميزة العملية اللازمة لتأمين التطبيقات السحابية الأصلية الحديثة، وإدارة الأسرار بفعالية، وتنفيذ سياسة قوية كتعليمات برمجية عبر بيئات AWS أو Azure أو GCP. مجالات الاختبار ونماذج الموضوعات- مؤسسات DevSecOps: Shift-left وSecure SDLC والأمان السريع ونمذجة التهديدات.
- خط أنابيب CI/CD الأمان: تكامل SAST/DAST/SCA، وإدارة الأسرار، وSBOMs.
- أمان السحابة والحاويات: Kubernetes RBAC، وتقوية Docker، وأمان IaC (Terraform).
- أمان التطبيقات وواجهة برمجة التطبيقات: OAuth2/JWT، وOWASP API Top 10، والبوابات الآمنة.
- المراقبة والحوكمة: SIEM/SOAR، الحوادث الاستجابة والامتثال (SOC2/ISO 27001) والمقاييس.
- السؤال 1: في مسار DevSecOps عالي النضج، ما هو النهج الأفضل الذي يعالج "أمن سلسلة توريد البرامج" أثناء مرحلة الإنشاء؟
- أ. إجراء فحص DAST على بيئة الإنتاج.
- ب. تنفيذ مراجعات التعليمات البرمجية اليدوية لجميع مكتبات الجهات الخارجية.
- ج. إنشاء قائمة مواد البرنامج (SBOM) وتوقيعها بشكل مشفر.
- د. زيادة تكرار لقطات جينكينز الاحتياطية.
- ه. الاعتماد فقط على جدار الحماية لمنع حركة المرور الصادرة غير الموثوق بها.
- و. مفاتيح واجهة برمجة التطبيقات (API) ذات الترميز الثابت ضمن البرنامج النصي للإنشاء للوصول بشكل أسرع.
- الإجابة الصحيحة: C
- الشرح العام: يركز أمان سلسلة توريد البرامج على سلامة ومصدر التعليمات البرمجية والتبعيات. يضمن إنشاء SBOM وتوقيعه أن يكون لديك مخزون يمكن التحقق منه لما هو موجود داخل برنامجك.
- تفسيرات الخيارات التفصيلية:
- أ (غير صحيح): DAST هو نشاط مرحلة تشغيل/اختبار، وليس فحصًا لسلامة سلسلة التوريد في مرحلة البناء.
- ب (غير صحيح): على الرغم من أن المراجعة اليدوية لآلاف التبعيات جيدة، إلا أنها غير قابلة للتوسع في بيئة DevSecOps.
- ج (صحيح): يتيح توقيع SBOM للمستخدمين النهائيين التحقق من عدم العبث بالعناصر.
- د (غير صحيح): توفر النسخ الاحتياطية التوفر ولكنها لا تتحقق من أمان أو سلامة الكود نفسه.
- هـ (غير صحيح): تعد جدران الحماية بمثابة دفاع محيطي ولا تعالج سلامة مكونات البرنامج.
- و (غير صحيح): هذه ثغرة أمنية حرجة (كشف الأسرار) وتتفاقم. الوضع الأمني.
- السؤال 2: ما هو مورد Kubernetes الأكثر أهمية لفرض "مبدأ الامتياز الأقل" فيما يتعلق بالاتصال من حجرة إلى حجرة؟
- أ. حصص الموارد
- ب. سياسات الشبكة
- ج. محددات العقد
- د. المقياس التلقائي للكبسولة الأفقية (HPA)
- E. وحدات تحكم الدخول
- F. ConfigMaps
- الإجابة الصحيحة: ب
- الشرح العام: تعمل سياسات الشبكة كجدار حماية من الطبقة 3/4 للحاويات، مما يسمح لك بتحديد واضح للحاويات المسموح لها بالتحدث مع بعضها البعض.
- تفسيرات الخيارات التفصيلية:
- أ (غير صحيحة): تدير حصص الموارد استهلاك وحدة المعالجة المركزية/الذاكرة، وليس أذونات الأمان أو الاتصال.
- ب (صحيح): سياسات الشبكة هي الطريقة القياسية لتقييد الحركة الجانبية داخل المجموعة.
- C (غير صحيح): تحدد NodeSelectors العقد التي تعمل عليها الحاوية، لكنها لا تقيد حركة المرور.
- D (غير صحيح): تدير HPA القياس بناءً على التحميل، وهو أمر يتعلق بالأداء، وليس الأمان.
- E (غير صحيح): يدير Ingress الوصول الخارجي إلى المجموعة، وليس الداخلي من حاوية إلى حاوية. حركة مرور "الشرق والغرب".
- F (غير صحيحة): تقوم ConfigMaps بتخزين بيانات التكوين غير الحساسة وليس لها أي دور في فرض حركة المرور.
- السؤال 3: عند تنفيذ الأمان "Shift-Left"، في أي مرحلة يجب تشغيل اختبار أمان التطبيقات الثابتة (SAST) بشكل مثالي؟
- أ. أثناء الطب الشرعي بعد الحادث.
- ب. فقط بعد نشر التطبيق في مرحلة الإنتاج.
- ج. أثناء مرحلة "الالتزام" أو "الإنشاء" لمسار CI/CD.
- د. أثناء تدقيق الامتثال ربع السنوي.
- ه. على جهاز المطور بعد دمج الكود بالفعل في الفرع الرئيسي.
- F. أثناء مرحلة اختبار الاختراق فقط.
- الإجابة الصحيحة: C
- الشرح العام: التحول إلى اليسار يعني نقل عمليات التحقق الأمني مسبقًا في SDLC. يقوم SAST بتحليل الكود المصدري ويجب دمجه في عملية الإنشاء لاكتشاف العيوب قبل أن تصل إلى البيئة.
- شرح تفصيلي للخيارات:
- أ (غير صحيح): يحدث التحليل الجنائي بعد الاختراق؛ هذا هو "Shift-Right" إلى أقصى الحدود.
- ب (غير صحيح): الانتظار حتى يصبح الإنتاج مكلفًا وخطيرًا؛ يجب اكتشاف العيوب مبكرًا.
- ج (صحيح): يؤدي تشغيل SAST عند الالتزام/الإنشاء إلى توفير تعليقات فورية للمطور.
- د (غير صحيح): عمليات التدقيق مخصصة للحوكمة وعادةً ما تكون متأخرة جدًا لمنع عيوب التطوير.
- هـ (غير صحيح): على الرغم من أن مكونات IDE الإضافية جيدة، إلا أنه يجب فرض SAST قبل الدمج لضمان بقاء الفرع الرئيسي آمنًا.
- و (غير صحيح): الاختبار هو اختبار عملية يدوية في مرحلة متأخرة؛ يجب أن يكون اختبار SAST آليًا ومبكرًا.
- مرحبًا بك في أفضل اختبارات الممارسات لمساعدتك في الاستعداد للأسئلة والأجوبة الخاصة بمقابلة DevSecOps.
- يمكنك إعادة إجراء الاختبارات عدة مرات كما تريد
- هذا بنك أسئلة أصلي ضخم
- يمكنك الحصول على الدعم من المدرسين إذا كانت لديك أسئلة
- يحتوي كل سؤال على تفاصيل شرح
- متوافق مع الهاتف المحمول مع تطبيق Udemy
- ضمان استرداد الأموال لمدة 30 يومًا إذا لم تكن راضيًا
ما هي المتطلبات الأساسية لدخول الدورة والتسجيل فيها على موقعنا؟ رحلة التعلم:
(احصل على الدورة للدخول إلى الموقع والتسجيل)
يجب أن يكون لديك بريد إلكتروني (حساب بريد) تتذكره لنفسك وأيضًا يجب أن تتذكر كلمة مرور البريد الإلكتروني الذي ستسجل به ، وإذا لم يكن لديك حساب بريد إلكتروني ، فمن الأفضل إنشاء حساب (Gmail)
0 تعليقات
تسجيل دخول
