interview-developer-fullstack-inforca

مقابلة-مطوِّر البرامج الكاملة

User avatar
بواسطة أليزي .
رئيس التطوير الرقمي والفعاليات الرقمية
ادخل إلى عالم ماثيو، مطور برامج Fullstack، الشغوف بالأمن السيبراني والذي تدرب في المدرسة 42. ستتعلم كيف يوفق بين الوظائف والأمان، وقبل كل شيء، التهديدات الرئيسية التي يحددها في مشهد الأمن السيبراني الحالي.
نشر في، 15‏/07‏/2024

مرحباً ماثيو، من الرائع أن ألتقي بك ونتحدث عن حياتك المهنية! في البداية، هل يمكنك وصف دورك الحالي كمطوّر متكامل، مع اهتمام خاص بالأمن السيبراني؟

مرحباً، وشكراً لمقابلتي. لكي أكون موجزاً وشاملاً في نفس الوقت، أنا مسؤول عن تصميم وتطوير وصيانة تطبيقات الويب والهاتف المحمول. تتضمن وظيفتي الترميز من جانب الخادم (PHP وPython) ومن جانب العميل (HTML وCSS وTWIG وTailwind وJavaScript). ربما سمعت هذه الكلمات من قبل؟ إذا لم تكن قد سمعتها، فقد تبدو غامضة إلى حد ما بالنسبة لك: إنها لغات برمجة تُستخدم لتطوير البرمجيات وتطبيقات الويب وأنظمة الكمبيوتر الأخرى.

كما قلت، لديّ اهتمام كبير بالأمن السيبراني، مما يعني أنني أدمج الممارسات الأمنية منذ بداية دورة التطوير. تشمل مسؤولياتي الرئيسية ما يلي
- تحليل المتطلبات الوظيفية والتقنية للمشاريع
- تصميم البنى البرمجية وتنفيذها
- إجراء اختبارات الأمان والأداء
- المراقبة المستمرة وإدارة الثغرات الأمنية

باستخدام هذه الموارد بشكل صحيح، يمكننا ضمان أمن التطبيقات التي يتم تطويرها. علاوة على ذلك، أستخدم إطار عمل (اعتبره بمثابة صندوق أدوات جاهز لمطوري البرمجيات. فهو يحتوي على أدوات جاهزة للاستخدام وقواعد يجب اتباعها تساعد في بناء التطبيقات بطريقة فعالة ومنظمة، دون الحاجة إلى إنشاء كل شيء من الصفر في كل مرة). وهذا يجعل عملية التطوير أسرع وأكثر تنظيماً وأماناً).

كل هذا تقني للغاية! ولكن على الرغم من أنني جديد في هذا الموضوع، إلا أنني فهمت جيداً ما تقومون به. هل يمكنك أن تخبرني كيف تمكنت من تحقيق التوازن بين المتطلبات الوظيفية للتطبيق وضرورات الأمان؟

هذه نقطة مهمة. للقيام بذلك:
- أبدأ بتحليل متعمق للاحتياجات لفهم المتطلبات الوظيفية للتطبيق.
- ثم أستخدم بعد ذلك أطر العمل والمكتبات (مجموعة من الوظائف والفئات القابلة لإعادة الاستخدام التي تبسّط وتسرّع تطوير البرمجيات) المعترف بأمنها.
- أقوم بإجراء مراجعات منتظمة للأكواد البرمجية واختبارات الاختراق لتحديد نقاط الضعف وتصحيحها.
- أقوم بإعداد ضوابط الوصول وإدارة الأذونات.
- وأخيراً، أضمن أن يكون الفريق بأكمله والعملاء على دراية بالمشكلات من خلال التدريب المستمر على الممارسات الأمنية الجيدة.

"غالباً ما تأتي التهديدات الرئيسية من الأشخاص. حتى لو تم تصميم نظام تكنولوجيا المعلومات بشكل صحيح، مع عدم وجود عيوب معروفة، لا يوجد شيء اسمه صفر من المخاطر".

هل يمكنك وصف مشروع كان عليك فيه أخذ الاعتبارات الأمنية في الحسبان منذ مرحلة التصميم؟ ما هي التقنيات والممارسات التي استخدمتها لضمان أمن التطبيق؟

كان تطوير منصة ENGECO أحد المشاريع البارزة التي اضطررتُ فيها إلى مراعاة الاعتبارات الأمنية منذ مرحلة التصميم مباشرةً. فيما يلي الخطوات والتقنيات التي استخدمتها:
- تحليل المخاطر: تحديد التهديدات المحتملة منذ البداية.
- البنية الآمنة: الفصل بين الأدوار وتقليل أسطح الهجوم.
- استخدام HTTPS (إصدار آمن من بروتوكول HTTP المستخدم لتأمين تبادل البيانات على الإنترنت) لجميع الاتصالات.
- التحقق من صحة المدخلات وتعقيمها: لمنع حقن SQL و XSS.
- تشفير البيانات الحساسة: استخدام مكتبات التشفير لتشفير البيانات أثناء النقل وفي حالة السكون.

اكتشف المزيد عن هذا المشروع:

Refonte du site Engeco

إعادة تصميم الموقع الإلكتروني لشركة إنجيكو

وقد ساهمت إنفوركا بخبرتها الفنية في تطوير الموقع الإلكتروني لشركة إنجيكو ش.م.م، حيث أنشأت واجهة حديثة وعملية تسلط الضوء على مشاريع إنجيكو الرائدة وخبرتها في مجال الإنشاءات في موناكو.

شاهد المشروع

في شركة ENGECO، كان الأمن من أولوياتنا، خاصةً لمنع حقن SQL. لكنني أدرك جيدًا أن كل هذه المصطلحات قد تبدو بعيدة بعض الشيء بالنسبة لك!
بالفعل... ولهذا السبب أود أن أتحدث عن Ecole 42! يا له من مرجع لطيف! هل يمكنك أن تخبرني كيف كان تدريبك هناك وكيف أعدتك تلك التجربة للعمل في مجال التطوير المتكامل والأمن السيبراني؟

"تقدم المدرسة 42 تدريبًا عمليًا مكثفًا ومكثفًا علمني الكثير. لقد علمتني كيف أتعلم."

فيما يلي بعض الجوانب الرئيسية

- التعلم القائم على المشاريع: يتطلب كل مشروع حلاً كاملاً لمشكلة معينة، وغالباً ما يكون ذلك مع متطلبات أمنية متكاملة.

- التعاون والتعلم من الأقران: العمل مع طلاب آخرين في مشاريع معقدة عزز قدرتي على التعاون ومشاركة ممارسات السلامة الجيدة، من بين أمور أخرى.

- الوصول إلى موارد متنوعة: تمكنت من استكشاف مختلف التقنيات والأطر المستخدمة في الصناعة.

- ثقافة الاستقلالية: هيأتني ثقافة الاستقلالية على أن أكون استباقياً ومواصلة التعلم بشكل مستقل، بما في ذلك في مجال الأمن السيبراني.

- الخبرة العملية: فعاليات الهاكاثون (فعاليات يتعاون فيها الأشخاص بشكل مكثف في مشاريع على مدار بضعة أيام لإنشاء نماذج أولية مبتكرة) وتمارين البرمجة التي تضمنت تحديات أمنية.

"تضمن التخصص الفرعي الذي اخترته مشاريع مثل إعادة تصميم Instagram وTinder وNetflix".

المدرسة 42(حقوق الطبع والنشر)

مثير للإعجاب! وما الذي تعتقدين أنه كان أكثر فائدة لتطورك المهني؟

أود أن أقول

- التعلم الذاتي: زادت قدرتي على حل المشاكل بشكل مستقل، (وهي مهارة أساسية في مجال الأمن السيبراني).

- التعاون والتواصل: كان العمل مع الأقران والوصول إلى شبكة واسعة من المحترفين أكثر من مفيد.

- الانغماس من خلال مشاريع واقعية : المشاريع المبنية على مواقف واقعية هيأتني لمواجهة التحديات الواقعية في مجال التطوير والأمن.

- التحديث المستمر : ثقافة التعلم المستمر، وهو أمر ضروري في مجال ديناميكي مثل الأمن السيبراني.

هل يمكنك أن تخبرني ما هي التهديدات الرئيسية للأمن السيبراني اليوم؟

تشمل التهديدات الرئيسية للأمن السيبراني اليوم ما يلي :

- التسريبات الهائلة للبيانات من مجموعات كبيرة تحتفظ بالمعلومات الشخصية للمستخدمين.

- هجمات برامج الفدية الخ بيثة. وهي مستمرة في النمو من حيث التكرار والتطور.

- التصيد الاحتيالي: وهو أسلوب هجوم يقوم فيه مجرمو الإنترنت بإرسال رسائل بريد إلكتروني احتيالية لجذب الضحايا إلى مواقع إلكترونية مزيفة، وإغرائهم بإفشاء معلومات شخصية مثل تفاصيل تسجيل الدخول أو كلمات المرور أو التفاصيل المالية.

- التهديدات الداخلية: يمكن للموظفين أن يتسببوا عن قصد أو غير قصد في تسريب البيانات أو الاختراقات الأمنية.

- هجمات يوم الصفر : وهي عادةً هجمات لا يستطيع المستخدم حماية نفسه منها. استغلال نقاط الضعف غير المعروفة بعد للمطورين.

- إنترنت الأشياء (IoT): أجهزة إنترنت الأشياء، التي غالباً ما تكون ضعيفة التأمين، هي أهداف جديدة. احترس من كاميرا الكمبيوتر، على سبيل المثال.

- هجمات سلسلة التوريد: اختراق الموردين للوصول إلى الشركات المستهدفة.

- إفساد المكتبات: عندما يتم اختراق مكتبة برمجيات قيد الاستخدام بواسطة تعليمات برمجية خبيثة.

- "رجل في الوسط" سيئ السمعة: هجوم يتم تنفيذه عن طريق اعتراض الاتصالات على الشبكات العامة والتلاعب بها.

"الهندسة الاجتماعية": كما تعلم، تلك المكالمة الهاتفية الشهيرة حيث يتم إيهامك بأن المتصل هو مصرفيك لأن حسابك المصرفي قد تم اختراقه. ثم يستغلون الموقف للحصول على التفاصيل المصرفية الخاصة بنا. حسناً، ها أنت ذا، الجائزة الكبرى".

الخطر في الأمن السيبراني هو التآزر بين أنواع مختلفة من الهجمات.

من الواضح أنكم لا تدركون ذلك على أساس يومي... أخيرًا، ما الذي تقدمه شركة إنفوركا لعملكم؟ على أساس يومي؟

توفر شركة إنفوركا بيئة عمل مرنة تعزز تماسك الفريق مع أشخاص من خلفيات متنوعة ومنفتحين على النقاش. والأكثر من ذلك، وبفضل تنوع عملائنا - المؤسسات والمهنيين من مختلف قطاعات الأعمال - فإن المهام التي نتولاها دائماً ما تكون متنوعة ومحفزة. إن البحث عن الحلول الأنسب لاحتياجات عملائنا ووضعها موضع التنفيذ يخلق تحفيزاً فكرياً حقيقياً على أساس يومي.

مقابلة أجرتها أليزيه، مديرة التطوير الرقمي والفعاليات في إنفوركا، مع ماتيو، مطور برمجيات/الأمن السيبراني في إنفوركا.

مشروع تطوير الويب الخاص بك مع إنفوركا

هل لديك مشروع تطوير ويب؟ يمكننا مساعدتك في تطوير موقعك الإلكتروني أو تطبيقك.

تطوير الويب خبراتنا الأخرى