فارسی

EnglishEnglish

EspañolSpanish

简体中文Chinese

FrançaisFrench

DeutschGerman

日本語Japanese

PortuguêsPortuguese

ItalianoItalian

한국어Korean

РусскийRussian

NederlandsDutch

العربيةArabic

PolskiPolish

हिन्दीHindi

Tiếng ViệtVietnamese

SvenskaSwedish

ΕλληνικάGreek

TürkçeTurkish

ไทยThai

ČeštinaCzech

RomânăRomanian

MagyarHungarian

УкраїнськаUkrainian

Bahasa IndonesiaIndonesian

DanskDanish

SuomiFinnish

БългарскиBulgarian

עבריתHebrew

NorskNorwegian

HrvatskiCroatian

CatalàCatalan

SlovenčinaSlovak

LietuviųLithuanian

SlovenščinaSlovenian

СрпскиSerbian

EestiEstonian

LatviešuLatvian

فارسیPersian

മലയാളംMalayalam

தமிழ்Tamil

اردوUrdu

Building Secure and Reliable Systems

Name: Building Secure and Reliable Systems
Rating: 4.39 (61 reviews)
ISBN: 9781492083122

Best Practices for Designing, Implementing, and Maintaining Systems

توسط Heather Adkins 2020 541 صفحات

3.86

100+ امتیازها

Technology Engineering Technical

گوش دادن

Summary FAQ Reviews Similar Author

Listen to Summary

نکات کلیدی

1. چارچوب‌ها امنیت و قابلیت اطمینان را در برنامه‌ها تقویت می‌کنند

چارچوب‌ها امکان استفاده مجدد از کد را فراهم می‌کنند: به جای در نظر گرفتن تمام جنبه‌های امنیت و قابلیت اطمینان که بر یک عملکرد یا ویژگی خاص تأثیر می‌گذارد، توسعه‌دهندگان فقط نیاز به سفارشی‌سازی یک بلوک ساختمانی خاص دارند.

حفاظت استاندارد شده. چارچوب‌ها رویکردی سازگار برای رسیدگی به نگرانی‌های امنیتی و قابلیت اطمینان مشترک در برنامه‌های متعدد ارائه می‌دهند. با متمرکز کردن عملکردهای حیاتی مانند احراز هویت، مجوز و مدیریت خطا، چارچوب‌ها احتمال بروز آسیب‌پذیری‌ها ناشی از پیاده‌سازی‌های ناسازگار را کاهش می‌دهند. این رویکرد به کارشناسان حوزه اجازه می‌دهد تا بلوک‌های ساختمانی امن طراحی و توسعه دهند که به نفع تمام تیم‌های استفاده‌کننده از چارچوب است.

افزایش بهره‌وری. استفاده از چارچوب‌ها منجر به بهره‌وری بالاتر برای توسعه‌دهندگان می‌شود، زیرا آن‌ها می‌توانند بر منطق کسب‌وکار تمرکز کنند به جای اینکه ویژگی‌های امنیت و قابلیت اطمینان را دوباره اختراع کنند. چارچوب‌ها اغلب با ابزارهای داخلی برای نظارت، ثبت و بهینه‌سازی عملکرد همراه هستند که فرآیندهای توسعه را بیشتر ساده می‌کنند. این استانداردسازی همچنین باعث می‌شود که استدلال درباره امنیت و قابلیت اطمینان کد آسان‌تر شود، زیرا الگوهای مشترک به طور مداوم در پروژه‌ها اعمال می‌شوند.

2. سادگی در طراحی کد امنیت و قابلیت نگهداری را افزایش می‌دهد

اجتناب از کد YAGNI منجر به بهبود قابلیت اطمینان می‌شود و کد ساده‌تر منجر به کاهش باگ‌های امنیتی، فرصت‌های کمتر برای اشتباه و زمان کمتر توسعه‌دهنده برای نگهداری کدهای استفاده نشده می‌شود.

کاهش پیچیدگی. کد ساده‌تر آسان‌تر برای درک، بررسی و نگهداری است. با پیروی از اصولی مانند YAGNI (شما به آن نیاز نخواهید داشت) و اجتناب از مهندسی بیش از حد، توسعه‌دهندگان می‌توانند سیستم‌های قوی‌تر و امن‌تری ایجاد کنند. کد ساده‌تر نقاط بالقوه کمتری برای شکست دارد و کمتر احتمال دارد که حاوی آسیب‌پذیری‌های پنهان باشد.

بهبود قابلیت نگهداری. بازسازی منظم و رسیدگی به بدهی فنی برای حفظ سادگی کد در طول زمان ضروری است. این فرآیند مداوم به جلوگیری از انباشت کد پیچیده و سخت‌فهم که می‌تواند منجر به مسائل امنیتی و قابلیت اطمینان شود، کمک می‌کند. ابزارهایی مانند لینترها و معیارهای سلامت کد می‌توانند به تیم‌ها در شناسایی مناطق نیازمند بهبود و حفظ استانداردهای بالای کیفیت کد کمک کنند.

3. تایپ قوی و تصفیه‌سازی از آسیب‌پذیری‌های رایج جلوگیری می‌کند

استفاده از تایپ‌های قوی کد شما را از خطاهایی که کامپایلر نمی‌گیرد محافظت می‌کند.

ایمنی تایپ. تایپ قوی به شناسایی خطاها در زمان کامپایل به جای زمان اجرا کمک می‌کند و از بسیاری از آسیب‌پذیری‌های رایج قبل از رسیدن به تولید جلوگیری می‌کند. با استفاده از تایپ‌های خاص برای زمینه‌های مختلف (مثلاً SafeHtml برای محتوای HTML، SafeUrl برای URLها)، توسعه‌دهندگان می‌توانند ویژگی‌های امنیتی را به‌طور طراحی شده اعمال کنند. این رویکرد معرفی آسیب‌پذیری‌هایی مانند تزریق SQL یا اسکریپت‌نویسی بین‌سایتی (XSS) را بسیار سخت‌تر می‌کند.

اعتبارسنجی ورودی. تصفیه‌سازی ورودی مناسب برای جلوگیری از آسیب‌پذیری‌های امنیتی حیاتی است. با استفاده از کتابخانه‌ها و چارچوب‌های اختصاصی برای مدیریت ورودی کاربر، توسعه‌دهندگان می‌توانند اطمینان حاصل کنند که تمام داده‌ها قبل از استفاده در عملیات حساس به‌درستی اعتبارسنجی و تصفیه می‌شوند. این شامل:

فرار از کاراکترهای خاص در محتوای تولید شده توسط کاربر
اعتبارسنجی و تصفیه URLها و مسیرهای فایل
اعمال بررسی تایپ سخت‌گیرانه برای تمام ورودی‌ها

4. تست واحد رفتار اجزای فردی را تأیید می‌کند

تست‌های واحد معمولاً به‌صورت محلی به‌عنوان بخشی از جریان‌های کاری مهندسی اجرا می‌شوند تا بازخورد سریعی به توسعه‌دهندگان قبل از ارسال تغییرات به پایگاه کد ارائه دهند.

تأیید جزئی. تست‌های واحد بر تأیید رفتار اجزای نرم‌افزاری فردی به‌صورت مجزا تمرکز دارند. این رویکرد به توسعه‌دهندگان اجازه می‌دهد تا باگ‌ها را در اوایل فرآیند توسعه شناسایی کنند و اطمینان حاصل کنند که هر جزء قبل از یکپارچه‌سازی به‌درستی عمل می‌کند. شیوه‌های مؤثر تست واحد شامل:

نوشتن تست‌ها به‌همراه یا قبل از کد واقعی (توسعه مبتنی بر تست)
پوشش هر دو حالت عادی و لبه
استفاده از ماک‌ها و استاب‌ها برای جداسازی وابستگی‌ها

بازخورد مداوم. با یکپارچه‌سازی تست‌های واحد در جریان کاری توسعه، تیم‌ها می‌توانند به‌سرعت رگرسیون‌ها و اثرات جانبی ناخواسته را شناسایی کنند. این چرخه بازخورد مداوم به حفظ کیفیت کد کمک می‌کند و از معرفی باگ‌های جدید جلوگیری می‌کند. خطوط لوله CI/CD خودکار می‌توانند تست‌های واحد را در هر تغییر کد اجرا کنند و بازخورد فوری به توسعه‌دهندگان ارائه دهند.

5. تست یکپارچه‌سازی تعاملات سیستم‌گسترده را ارزیابی می‌کند

تست یکپارچه‌سازی فراتر از واحدها و انتزاعات فردی می‌رود و پیاده‌سازی‌های جعلی یا استاب‌شده از انتزاعاتی مانند پایگاه‌های داده یا خدمات شبکه را با پیاده‌سازی‌های واقعی جایگزین می‌کند.

تأیید سطح سیستم. تست‌های یکپارچه‌سازی ارزیابی می‌کنند که چگونه اجزای مختلف یک سیستم با هم کار می‌کنند و مشکلاتی را که ممکن است در هنگام تست واحدها به‌صورت مجزا آشکار نشوند، کشف می‌کنند. این تست‌ها به اطمینان از عملکرد صحیح سیستم به‌عنوان یک کل، از جمله تعاملات با وابستگی‌های خارجی مانند پایگاه‌های داده و APIها کمک می‌کنند. ملاحظات کلیدی برای تست یکپارچه‌سازی شامل:

راه‌اندازی محیط‌های تست واقعی
مدیریت امن داده‌های تست
مدیریت عملیات ناهمزمان و مسائل زمانی

تعادل پوشش و سرعت. در حالی که تست‌های یکپارچه‌سازی بینش‌های ارزشمندی درباره رفتار سیستم ارائه می‌دهند، معمولاً کندتر و منابع‌برتر از تست‌های واحد هستند. تیم‌ها باید تعادل مناسبی بین تست یکپارچه‌سازی جامع و حفظ چرخه‌های بازخورد سریع پیدا کنند. استراتژی‌هایی مانند تست یکپارچه‌سازی انتخابی بر اساس ارزیابی ریسک می‌توانند به بهینه‌سازی پوشش تست بدون قربانی کردن سرعت توسعه کمک کنند.

6. ابزارهای تحلیل پویا خطاها و آسیب‌پذیری‌های زمان اجرا را شناسایی می‌کنند

تحلیل برنامه پویا نرم‌افزار را با اجرای برنامه‌ها، احتمالاً در محیط‌های مجازی یا شبیه‌سازی شده، برای اهدافی فراتر از تست تحلیل می‌کند.

شناسایی خطاهای زمان اجرا. ابزارهای تحلیل پویا مانند تصفیه‌کننده‌ها می‌توانند خطاها و آسیب‌پذیری‌های مختلف زمان اجرا را که ممکن است از طریق تحلیل ایستا یا تست معمولی آشکار نشوند، شناسایی کنند. این ابزارها کد را در حین کامپایل برای افزودن بررسی‌های زمان اجرا برای مسائل مانند:

نشت حافظه و سرریز بافر
خطاهای استفاده پس از آزادسازی
رقابت داده و بن‌بست‌ها
رفتار تعریف‌نشده

ملاحظات عملکرد. در حالی که ابزارهای تحلیل پویا بینش‌های ارزشمندی ارائه می‌دهند، می‌توانند به‌طور قابل‌توجهی بر عملکرد تأثیر بگذارند. تیم‌ها اغلب این ابزارها را به‌عنوان بخشی از ساخت‌های شبانه یا خطوط لوله تست اختصاصی اجرا می‌کنند تا نیاز به تحلیل جامع را با سرعت توسعه متعادل کنند. بینش‌های به‌دست‌آمده از تحلیل پویا می‌توانند به تیم‌ها در اولویت‌بندی رفع باگ‌ها و بهبود کیفیت کلی کد کمک کنند.

7. تست فازینگ موارد لبه و ورودی‌های غیرمنتظره را کشف می‌کند

فازینگ می‌تواند برای تست مقاومت خدمات مفید باشد.

تولید ورودی خودکار. تست فازینگ شامل تولید تعداد زیادی ورودی تصادفی یا نیمه‌تصادفی برای کشف باگ‌ها و آسیب‌پذیری‌ها است. این تکنیک به‌ویژه در یافتن موارد لبه و رفتارهای غیرمنتظره که ممکن است تست دستی از دست بدهد، مؤثر است. تست فازینگ می‌تواند شناسایی کند:

مسائل فساد حافظه
نقص‌های اعتبارسنجی ورودی
آسیب‌پذیری‌های انکار سرویس
خطاهای تجزیه در قالب‌های فایل یا پروتکل‌های شبکه

فازینگ مداوم. یکپارچه‌سازی تست فازینگ در خطوط لوله یکپارچه‌سازی مداوم به تیم‌ها اجازه می‌دهد تا به‌طور مداوم سیستم‌های خود را برای آسیب‌پذیری‌های جدید بررسی کنند. با تکامل پایگاه کد، فازینگ می‌تواند رگرسیون‌ها یا مسائل جدیدی را که توسط تغییرات معرفی شده‌اند، کشف کند. ابزارهایی مانند libFuzzer و AFL (American Fuzzy Lop) پیاده‌سازی تست فازینگ برای انواع مختلف نرم‌افزار را آسان‌تر می‌کنند.

8. اعتبارسنجی مداوم اطمینان از مقاومت مداوم سیستم را فراهم می‌کند

مجموعه‌های تست با طراحی دقیق می‌توانند درستی قطعات مختلف نرم‌افزاری که همان وظیفه را انجام می‌دهند، ارزیابی کنند.

مقاومت پیشگیرانه. اعتبارسنجی مداوم فراتر از تست سنتی است و سیستم را به‌طور مداوم تحت شرایط مختلف آزمایش می‌کند. این رویکرد به اطمینان از اینکه سیستم در برابر شکست‌ها و حملات در طول زمان مقاوم باقی می‌ماند، کمک می‌کند. تکنیک‌های اعتبارسنجی مداوم شامل:

آزمایش‌های مهندسی آشوب
تمرین‌های منظم بازیابی از فاجعه
اسکن امنیتی خودکار و تست نفوذ
تست استرس عملکرد تحت شرایط بار واقعی

مدل‌های تهدید در حال تکامل. با رشد و تکامل سیستم‌ها، آسیب‌پذیری‌ها و حالت‌های شکست جدید ممکن است پدیدار شوند. اعتبارسنجی مداوم به تیم‌ها کمک می‌کند تا از این چالش‌ها جلوتر بمانند و به‌طور منظم مقاومت سیستم‌های خود را ارزیابی کنند. این فرآیند باید شامل به‌روزرسانی مدل‌های تهدید، بازبینی سناریوهای تست و گنجاندن درس‌های آموخته‌شده از حوادث واقعی و نزدیک به‌خطا باشد.

آخرین به‌روزرسانی:: February 4, 2025

Report Issue

FAQ

What's Building Secure and Reliable Systems about?

Focus on Integration: The book emphasizes integrating security and reliability into the entire lifecycle of system design, implementation, and maintenance.
Practical Guidance: It offers practical advice and best practices for organizations of all sizes, from startups to large enterprises.
Cultural Aspects: The authors discuss the importance of fostering a culture of security and reliability within organizations.

Why should I read Building Secure and Reliable Systems?

Comprehensive Resource: It serves as a guide for professionals involved in system design and operations, offering insights from experienced practitioners at Google.
Real-World Examples: The book shares case studies and examples, making the concepts relatable and applicable to various organizational contexts.
Improving Practices: Readers can learn how to improve their organization's security posture and reliability practices.

What are the key takeaways of Building Secure and Reliable Systems?

Integration of Principles: Security and reliability should be integrated into every stage of the system lifecycle.
Crisis Management: Effective crisis management strategies, including incident response planning, are outlined.
Cultural Importance: A culture that prioritizes security and reliability is essential for resilient systems.

What are the best quotes from Building Secure and Reliable Systems and what do they mean?

"Security and reliability are inherent properties of a system.": These aspects should be integrated from the beginning.
"A culture of inevitability can help teams have the appropriate frame of mind to build secure and reliable systems.": Accepting that failures can happen leads to better resilience.
"Everyone is responsible for security and reliability.": Security and reliability should be a collective effort across the organization.

What is the principle of least privilege in Building Secure and Reliable Systems?

Definition: Users should have the minimum access necessary to accomplish their tasks.
Reducing Risk: Limiting access minimizes the potential for mistakes or malicious actions.
Implementation Strategies: Strategies include using small functional APIs and advanced authorization controls.

How does Building Secure and Reliable Systems define adversaries?

Understanding Adversaries: Adversaries are individuals or groups that may exploit system vulnerabilities.
Motivations: Motivations include financial gain, activism, and espionage.
Frameworks for Analysis: The book provides frameworks for analyzing adversaries, aiding in designing resilient systems.

What role does culture play in security and reliability according to Building Secure and Reliable Systems?

Cultural Shift: Building a culture of security and reliability is essential for long-term success.
Empowerment and Training: Training employees and empowering them to take ownership of security practices is crucial.
Collaboration and Communication: Open communication and collaboration help identify potential issues early.

What is the role of the incident commander (IC) in crisis management as described in Building Secure and Reliable Systems?

Leadership During Incidents: The IC leads the incident response team and makes critical decisions.
Maintaining Morale: The IC focuses on maintaining team morale during high-pressure situations.
Handover Processes: The IC manages handovers between shifts to ensure continuity.

How does Building Secure and Reliable Systems address the trade-offs between security and reliability?

Balancing Act: Decisions in one area can impact the other, requiring careful consideration.
Design Considerations: Designers should ensure security measures do not compromise reliability.
Real-World Examples: Examples show how organizations navigate these trade-offs effectively.

What are some best practices for designing secure systems in Building Secure and Reliable Systems?

Design for Understandability: Systems should be understandable to aid in security and reliability.
Use of Proxies: Safe proxies manage access and enforce security policies.
Continuous Improvement: Regularly review and update security practices based on new insights.

What are the advanced mitigation strategies discussed in Building Secure and Reliable Systems?

Defense in Depth: Implement multiple defensive measures to protect systems.
Automated Response Mechanisms: Use automated systems for quick incident response.
Regular Testing and Updates: Continuously test and update security measures to adapt to threats.

How does Building Secure and Reliable Systems suggest handling legacy code?

Consolidate Exemption Mechanisms: Simplify the codebase to reduce vulnerabilities.
Refactor Regularly: Improve security and reliability through regular refactoring.
Avoid Overengineering: Promote the YAGNI principle to keep the codebase manageable.

نقد و بررسی

3.86 از 5

میانگین از 100+ امتیازات از Goodreads و Amazon.

کتاب ساخت سیستم‌های امن و قابل‌اعتماد نظرات متنوعی را به خود جلب کرده و میانگین امتیاز آن ۳.۹۰ از ۵ است. خوانندگان از پوشش جامع اصول امنیت و قابلیت اطمینان، به‌ویژه برای سازمان‌های بزرگ، قدردانی می‌کنند. بسیاری این کتاب را برای آموزش و به‌عنوان یک راهنمای مرجع ارزشمند می‌دانند. با این حال، برخی به ساختار، طولانی بودن و گاهی عدم وضوح آن انتقاد کرده‌اند. این کتاب به خاطر ادغام مفاهیم امنیت و قابلیت اطمینان مورد تحسین قرار گرفته، اما همچنین به تمرکز زیاد بر روی گوگل اشاره شده است. در حالی که برخی فصل‌ها به‌عنوان نظری یا جزئیات زیاد تلقی می‌شوند، دیگر فصل‌ها بسیار عملی هستند. به‌طور کلی، این کتاب برای متخصصان امنیت و مهندسان مسئولیت‌پذیر (SRE) توصیه می‌شود.

Similar Books

Wiring the Winning Organization

Gene Kim

Liberating Our Collective Greatness through Slowification, Simplification, and Amplification

4.25

(100+)

Turn the Ship Around!

L. David Marquet

A True Story of Turning Followers into Leaders

A Personal Exercise in Empirical Software Design

The Gentle Art of Asking Instead of Telling

3.73

(3k+)

Building Microservices

Sam Newman

Designing Fine-Grained Systems

4.22

(5k+)

Site Reliability Engineering

Betsy Beyer

How Google Runs Production Systems

A Handbook of Agile Software Craftsmanship

4.37

(22k+)

The Making of a Manager

Julie Zhuo

What to Do When Everyone Looks to You

4.21

(19k+)

System Design Interview – An insider's guide

Leadership Beyond the Management Track

4.06

(2k+)

درباره نویسنده

هدر آدکینز یک حرفه‌ای برجسته در زمینه‌ی امنیت سایبری و فناوری اطلاعات است. به عنوان یک نویسنده، او به طور قابل توجهی به ادبیات مربوط به سیستم‌های امن و قابل اعتماد کمک کرده و از تجربیات گسترده‌اش در این صنعت بهره برده است. آدکینز به خاطر کارش در گوگل شناخته می‌شود، جایی که نقش حیاتی در توسعه و پیاده‌سازی شیوه‌های امنیتی ایفا کرده است. تخصص او به حوزه‌هایی مانند مدیریت ریسک، پاسخ به حوادث و مهندسی امنیت گسترش می‌یابد. از طریق نوشتارهایش، آدکینز هدف دارد تا بهترین شیوه‌ها و بینش‌های به‌دست‌آمده از کار در محیط‌های فناوری بزرگ را به اشتراک بگذارد و به سازمان‌های دیگر کمک کند تا وضعیت امنیت و قابلیت اطمینان خود را بهبود بخشند.

Compare Features	Free	Pro
📖 Read Summaries All summaries are free to read in 40 languages
🎧 Listen to Summaries Listen to unlimited summaries in 40 languages	—
❤️ Unlimited Bookmarks Free users are limited to 10	—
📜 Unlimited History Free users are limited to 10	—