Forwarded from خبرهای فوری مهم 🔖
مدیر عامل پرشین بلاگ خبر از یک اتفاق بد و احتمال تحریم وبسایت های ایرانی داد #فناوری
✅ @Khabar_Fouri
✅ @Khabar_Fouri
⭕️ انواع قرارداد - بخش اول
✍️ نادر خرمی راد
فرق EPC و EPCM چیه؟
فرق Lump Sum و Turnkey چیه؟
سوالهای اینطوری خیلی زیاده و خیلیها در مورد انواع اصطلاحهایی که برای قرارداد به کار میره گیج میشن. تو این مطلب یه مقدار در مورد انواع قرارداد توضیح میدم، ولی مهمتر از اون دو نکته رو بهتون میگم که بهتون کمک میکنه مشکلاتتون رو تو فهم ماجراهای این حوزه راحتتر حل کنین:
اصلاحهای قراردادی (مثل چنتایی که مثال زدم) تعریف خیلی دقیقی ندارن و خیلی وقتها تو متنهای مختلف با معنیهای کمابیش متفاوتی به کار میرن. از طرف دیگه، تصورهای نادرستی هم در مورد بعضی از اونها هست و بعضی از متنها اونها رو اشتباه توضیح میدن. مثلا Turnkey تو بیشتر از نصف متنهای انگلیسی که میشه تو اینترنت پیدا کرد اشتباه توضیح داده شده! باور کنین!
قراردادها رو از چند جهت میشه دستهبندی کرد و هر نوع دستهبندی هم اصطلاحهای خودش رو داره، در نتیجه این دو گروه اصطلاح رو نمیشه با هم مقایسه کرد. مثلا Lump Sum و EPC رو نباید با هم مقایسه کنیم، چون یکی درباره قیمت قرارداده و اونیکی درباره ارتباط ارکان پروژه.
خوب، این دو نکته رو همیشه در نظر داشته باشین تا کمتر سردرگم بشین. حالا یه مقدار هم دستهبندیها رو توضیح میدم.
دستهبندی اول بر اساس مبلغ قرارداده، یعنی همون چیزی که تو حوزه دانش مدیریت تدارکات پمباک هم توضیح داده میشه. قراردادها رو از نظر طبیعت قیمتشون به سه دسته میشه تقسیم کرد:
قیمت ثابت (Fixed-Price): تو این نوع قرارداد گستره (Scope) پروژه یا الزامات و مشخصاتی که منجر به تدوین گستره میشه رو به دقت تعیین میکنن و بعد قراردادی برای انجام کل اون کار با قیمتی ثابت میبندن. مشخصه که تو این حالت پیمانکار باید کار رو به دقت بررسی کنه و حتی اگه پروژه طراحی نشده، اون رو به طور کلان طراحی هم بکنه و بعد وارد مناقصه بشه. جایی خوندم که انتظار میره پیمانکارهای کارخانجات مبلغی معادل 2% مبلغ قرارداد رو صرف طراحیهای کلانی بکنن که برای شرکت در مناقصه لازمه. مبلغ خیلی زیادیه! ممکنه این مبلغ ثابت تبصرههایی هم داشته باشه، مثلا تعدیل داشته باشه (یعنی افت ارزش پول هم تو هر پرداخت محاسبه میشه و به اون اضافه میشه)، پاداش داشته باشه (پاداش معمولا وابسته به معیارهاییه، مثلا تسریع تو تکمیل پروژه یا اینکه محصول کار پروژه بیشتر از مشخصات اولیه باشه) و امثال اونها. معمولا اگه قرارداد هیچکدوم از این تبصرهها رو نداشته باشه بهش میگن Lump Sum، ولی گاهی به هر نوع قرارداد قیمت ثابتی (حتی اگه تعدیل و پاداش و … هم داشته باشه) Lump Sum گفته میشه.
✍️ نادر خرمی راد
فرق EPC و EPCM چیه؟
فرق Lump Sum و Turnkey چیه؟
سوالهای اینطوری خیلی زیاده و خیلیها در مورد انواع اصطلاحهایی که برای قرارداد به کار میره گیج میشن. تو این مطلب یه مقدار در مورد انواع قرارداد توضیح میدم، ولی مهمتر از اون دو نکته رو بهتون میگم که بهتون کمک میکنه مشکلاتتون رو تو فهم ماجراهای این حوزه راحتتر حل کنین:
اصلاحهای قراردادی (مثل چنتایی که مثال زدم) تعریف خیلی دقیقی ندارن و خیلی وقتها تو متنهای مختلف با معنیهای کمابیش متفاوتی به کار میرن. از طرف دیگه، تصورهای نادرستی هم در مورد بعضی از اونها هست و بعضی از متنها اونها رو اشتباه توضیح میدن. مثلا Turnkey تو بیشتر از نصف متنهای انگلیسی که میشه تو اینترنت پیدا کرد اشتباه توضیح داده شده! باور کنین!
قراردادها رو از چند جهت میشه دستهبندی کرد و هر نوع دستهبندی هم اصطلاحهای خودش رو داره، در نتیجه این دو گروه اصطلاح رو نمیشه با هم مقایسه کرد. مثلا Lump Sum و EPC رو نباید با هم مقایسه کنیم، چون یکی درباره قیمت قرارداده و اونیکی درباره ارتباط ارکان پروژه.
خوب، این دو نکته رو همیشه در نظر داشته باشین تا کمتر سردرگم بشین. حالا یه مقدار هم دستهبندیها رو توضیح میدم.
دستهبندی اول بر اساس مبلغ قرارداده، یعنی همون چیزی که تو حوزه دانش مدیریت تدارکات پمباک هم توضیح داده میشه. قراردادها رو از نظر طبیعت قیمتشون به سه دسته میشه تقسیم کرد:
قیمت ثابت (Fixed-Price): تو این نوع قرارداد گستره (Scope) پروژه یا الزامات و مشخصاتی که منجر به تدوین گستره میشه رو به دقت تعیین میکنن و بعد قراردادی برای انجام کل اون کار با قیمتی ثابت میبندن. مشخصه که تو این حالت پیمانکار باید کار رو به دقت بررسی کنه و حتی اگه پروژه طراحی نشده، اون رو به طور کلان طراحی هم بکنه و بعد وارد مناقصه بشه. جایی خوندم که انتظار میره پیمانکارهای کارخانجات مبلغی معادل 2% مبلغ قرارداد رو صرف طراحیهای کلانی بکنن که برای شرکت در مناقصه لازمه. مبلغ خیلی زیادیه! ممکنه این مبلغ ثابت تبصرههایی هم داشته باشه، مثلا تعدیل داشته باشه (یعنی افت ارزش پول هم تو هر پرداخت محاسبه میشه و به اون اضافه میشه)، پاداش داشته باشه (پاداش معمولا وابسته به معیارهاییه، مثلا تسریع تو تکمیل پروژه یا اینکه محصول کار پروژه بیشتر از مشخصات اولیه باشه) و امثال اونها. معمولا اگه قرارداد هیچکدوم از این تبصرهها رو نداشته باشه بهش میگن Lump Sum، ولی گاهی به هر نوع قرارداد قیمت ثابتی (حتی اگه تعدیل و پاداش و … هم داشته باشه) Lump Sum گفته میشه.
⭕️ انواع قرارداد - بخش دوم
✍️ نادر خرمی راد
بازپرداخت هزینه (Cost Reimbursable): این همون چیزیه که تو ایران پیمان مدیریت گفته میشه. تو این حالت پیمانکار برای پروژه هزینه میکنه، صورت حساب هزینهها رو میده به کارفرما و پولش رو میگیره. قطعا یه پولی هم اضافه بر اون میگیره برای زحمتی که میکشه. پول اضافهای که میگیره ممکنه یه مقدار ثابت باشه (مثلا کل هزینهها رو بهش برمیگردونن به اضافه 100 میلیون تومن بابت سود و بالاسریهاش)، درصدی از هزینهها باشه (هزینهها رو بهش برمیگردونن با مثلا 10% اضافه) یا اون رو وابسته به پارامترهایی مثل عملکرد میکنن. بعضی وقتها برای درصدی که به پیمانکار داده میشه یا برای کل پروژه سقف و کف هم میذارن و ماجرا رو پیچیدهتر میکنن. این نوع قرارداد مشکلات زیادی داره، چون پیمانکار معمولا براش اهمیتی نداره که هزینه اضافه کنه (یا حتی از این بابت سود هم میبره، البته به جز بعضی حالتهای خاص). به همین خاطر کارفرماهای دولتی خیلی از کشورها اجازه استفاده از این نوع قرارداد رو ندارن (اگه اشتباه نکنم ایران و آمریکا نمونههایی از این کشورها هستن). کلا هم از این نوع قرارداد معمولا تو پروژههای کوچیک استفاده میشه.
دستمزدی (Time and Material) یا فهرست بهایی (Unit Price): تو حالت دستمزدی پیمانکار دستمزد کارهایی که کرده رو میگیره. مثلا 200 نفر ساعت برای کارفرما کار کرده، تو قرارداد اومده که هر نفرساعت چقدر پولشه، اون پول حساب میشه و به پیمانکار پرداخت میشه. ممکنه مصالح هم به عهده پیمانکار باشه و برای اونها هم از اول حق الزحمهای مشخص شده باشه. مثلا یه پروژه کوچیک برای سیمکشی یه ساختمون تعریف شده و قرارداد میگه که هر متر سیمکشی فلان مقدار هزینه داره؛ این میشه دستمزدی. وقتی مصالح هم وسط کشیده بشه، طبیعت قرارداد دستمزدی به قرارداد همخانوادهش، یعنی فهرست بهایی نزدیک میشه. فکر میکنم همه قراردادهای فهرست بهایی رو بشناسن. یه فهرست بهایی وجود داره که قیمت واحد انواع و اقسام کارها توش مشخص شده و پیمانکار به ازای مقدار کاری که انجام میده صورت وضعیتش حساب میشه.
هرکدوم از این نوع قراردادها ممکنه تو دلشون نوع دیگهای رو هم داشته باشن. مثلا فکر میکنم اکثرتون اقلام فاکتوری رو تو قراردادهای فهرست بهایی بشناسین. یه سری از کارهای این نوع قراردادها تو فهرست بها پوشش داده نمیشه و در این حالت پیمانکار بعد از اینکه هزینه میکنه، فاکتور هزینهها رو میده به کارفرما و اون پول رو به همراه ضرایبش میگیره. یعنی در واقع یه حالت پیمان مدیریتی کوچیک تو دل حالت فهرست بهایی وجود داره. نمونه دیگه قراردادهای قیمت ثابته؛ معمولا توصیه میشه تو دل قراردادهای قیمت ثابت یه سری بهای فهرستی هم برای کارهای اضافه احتمالی مشخص بشه تا اگه کاری به پیمانکار اضافه شد دیگه گرفتار تعیین هزینهشون نشیم و اونها رو به حالت فهرست بهایی حساب کنیم.
✍️ نادر خرمی راد
بازپرداخت هزینه (Cost Reimbursable): این همون چیزیه که تو ایران پیمان مدیریت گفته میشه. تو این حالت پیمانکار برای پروژه هزینه میکنه، صورت حساب هزینهها رو میده به کارفرما و پولش رو میگیره. قطعا یه پولی هم اضافه بر اون میگیره برای زحمتی که میکشه. پول اضافهای که میگیره ممکنه یه مقدار ثابت باشه (مثلا کل هزینهها رو بهش برمیگردونن به اضافه 100 میلیون تومن بابت سود و بالاسریهاش)، درصدی از هزینهها باشه (هزینهها رو بهش برمیگردونن با مثلا 10% اضافه) یا اون رو وابسته به پارامترهایی مثل عملکرد میکنن. بعضی وقتها برای درصدی که به پیمانکار داده میشه یا برای کل پروژه سقف و کف هم میذارن و ماجرا رو پیچیدهتر میکنن. این نوع قرارداد مشکلات زیادی داره، چون پیمانکار معمولا براش اهمیتی نداره که هزینه اضافه کنه (یا حتی از این بابت سود هم میبره، البته به جز بعضی حالتهای خاص). به همین خاطر کارفرماهای دولتی خیلی از کشورها اجازه استفاده از این نوع قرارداد رو ندارن (اگه اشتباه نکنم ایران و آمریکا نمونههایی از این کشورها هستن). کلا هم از این نوع قرارداد معمولا تو پروژههای کوچیک استفاده میشه.
دستمزدی (Time and Material) یا فهرست بهایی (Unit Price): تو حالت دستمزدی پیمانکار دستمزد کارهایی که کرده رو میگیره. مثلا 200 نفر ساعت برای کارفرما کار کرده، تو قرارداد اومده که هر نفرساعت چقدر پولشه، اون پول حساب میشه و به پیمانکار پرداخت میشه. ممکنه مصالح هم به عهده پیمانکار باشه و برای اونها هم از اول حق الزحمهای مشخص شده باشه. مثلا یه پروژه کوچیک برای سیمکشی یه ساختمون تعریف شده و قرارداد میگه که هر متر سیمکشی فلان مقدار هزینه داره؛ این میشه دستمزدی. وقتی مصالح هم وسط کشیده بشه، طبیعت قرارداد دستمزدی به قرارداد همخانوادهش، یعنی فهرست بهایی نزدیک میشه. فکر میکنم همه قراردادهای فهرست بهایی رو بشناسن. یه فهرست بهایی وجود داره که قیمت واحد انواع و اقسام کارها توش مشخص شده و پیمانکار به ازای مقدار کاری که انجام میده صورت وضعیتش حساب میشه.
هرکدوم از این نوع قراردادها ممکنه تو دلشون نوع دیگهای رو هم داشته باشن. مثلا فکر میکنم اکثرتون اقلام فاکتوری رو تو قراردادهای فهرست بهایی بشناسین. یه سری از کارهای این نوع قراردادها تو فهرست بها پوشش داده نمیشه و در این حالت پیمانکار بعد از اینکه هزینه میکنه، فاکتور هزینهها رو میده به کارفرما و اون پول رو به همراه ضرایبش میگیره. یعنی در واقع یه حالت پیمان مدیریتی کوچیک تو دل حالت فهرست بهایی وجود داره. نمونه دیگه قراردادهای قیمت ثابته؛ معمولا توصیه میشه تو دل قراردادهای قیمت ثابت یه سری بهای فهرستی هم برای کارهای اضافه احتمالی مشخص بشه تا اگه کاری به پیمانکار اضافه شد دیگه گرفتار تعیین هزینهشون نشیم و اونها رو به حالت فهرست بهایی حساب کنیم.
⭕️ انواع قرارداد - بخش سوم
✍️ نادر خرمی راد
حالا یه ماجرای مهم دیگه ارتباط بین ارکان پروژهس. این دستهبندی رو نمیشه مثل قبلی جامع و مانع کرد و واقعیت اینه که به نظر میاد حالتهاش نامحدود باشن. در نتیجه من فقط تعدادی از رایجترینهاش رو میگم:
- حالت Design-Bid-Build: تو این حالت یه شرکت کار طراحی رو انجام میده، بعد از اینکه طراحی تموم شد یه مناقصه برگزار میکنن و پیمانکاری برای ساخت اون پروژهای که طراحی شده انتخاب میکنن. این همون حالتیه که تو ایران برای پروژههای معمولی دولتی به کار میره. یه مشاور هست که طراحی میکنه و یه پیمانکار هست که ساخت رو انجام میده. قطعا قیمت قرارداد هرکدوم از این دوتا شرکت هم میتونه هرکدوم از اون سه حالت گفته شده باشه، ولی کلا چون در زمان مناقصه طراحی انجام شده، به راحتی میشه با پیمانکار قرارداد قیمت ثابت بست و در نتیجه سراغ دو نوع قرارداد دیگه که ریسک زیادی برای کارفرما داره نمیرن. تو ایران تو این حالت قرارداد پیمانکار رو فهرست بهایی میبندن، شاید به این خاطر باشه که طراحی معمولا با عجله انجام میشه و بعد از تکمیل طراحی هم خیلیها روش اعمال نظر میکنن و گاهی حتی پیش از تکمیل طراحی با پیمانکار قرارداد میبندن.
- حالت Design-Build یا Design-Construct: تو این حالت طراحی و اجرا رو یه شرکت انجام میده. دوتا اسمی که گفتم معمولا زمانی به کار میره که پروژه ساختمانی، عمرانی، راهسازی و امثال اونها باشه. اگه پروژه ساخت کارخانه یا نفت و گازی باشه معمولا بهش میگن EPC، که مخفف Engineering, Procurement, Construction هست؛ معنی سادهش اینه: همه کارها رو یه شرکت انجام میده. خیلی وقتها اون شرکت خودش از پیمانکارهای دست دوم کمک میگیره، ولی در هر حال کل کار متعلق به اونه و در قبالش مسئولیت کامل داره.
✍️ نادر خرمی راد
حالا یه ماجرای مهم دیگه ارتباط بین ارکان پروژهس. این دستهبندی رو نمیشه مثل قبلی جامع و مانع کرد و واقعیت اینه که به نظر میاد حالتهاش نامحدود باشن. در نتیجه من فقط تعدادی از رایجترینهاش رو میگم:
- حالت Design-Bid-Build: تو این حالت یه شرکت کار طراحی رو انجام میده، بعد از اینکه طراحی تموم شد یه مناقصه برگزار میکنن و پیمانکاری برای ساخت اون پروژهای که طراحی شده انتخاب میکنن. این همون حالتیه که تو ایران برای پروژههای معمولی دولتی به کار میره. یه مشاور هست که طراحی میکنه و یه پیمانکار هست که ساخت رو انجام میده. قطعا قیمت قرارداد هرکدوم از این دوتا شرکت هم میتونه هرکدوم از اون سه حالت گفته شده باشه، ولی کلا چون در زمان مناقصه طراحی انجام شده، به راحتی میشه با پیمانکار قرارداد قیمت ثابت بست و در نتیجه سراغ دو نوع قرارداد دیگه که ریسک زیادی برای کارفرما داره نمیرن. تو ایران تو این حالت قرارداد پیمانکار رو فهرست بهایی میبندن، شاید به این خاطر باشه که طراحی معمولا با عجله انجام میشه و بعد از تکمیل طراحی هم خیلیها روش اعمال نظر میکنن و گاهی حتی پیش از تکمیل طراحی با پیمانکار قرارداد میبندن.
- حالت Design-Build یا Design-Construct: تو این حالت طراحی و اجرا رو یه شرکت انجام میده. دوتا اسمی که گفتم معمولا زمانی به کار میره که پروژه ساختمانی، عمرانی، راهسازی و امثال اونها باشه. اگه پروژه ساخت کارخانه یا نفت و گازی باشه معمولا بهش میگن EPC، که مخفف Engineering, Procurement, Construction هست؛ معنی سادهش اینه: همه کارها رو یه شرکت انجام میده. خیلی وقتها اون شرکت خودش از پیمانکارهای دست دوم کمک میگیره، ولی در هر حال کل کار متعلق به اونه و در قبالش مسئولیت کامل داره.
OWASP (Open Web Application Security Project)
پروژه آزاد امنیت برنامه های کاربردی تحت وب
یک پروژه متن باز از یک سازمان غیر دولتی است که در آن معیارهایی برای امن تر شدن نرم افراز تحت وب تشریح شده است.
در واقع OWASP، یک منبع بی طرف اطلاعات در مورد بهترین شیوه ها و حامی استانداردهای باز در فضای امنیتی است که بر بهبود امنیت نرم افزار تمرکز دارد. ماموریت این پروژه این است که امنیت نرم افزار را قابل مشاهده کند تا افراد و سازمان ها بتوانند تصمیمات آگاهانه بگیرند.
پروژه OWASP پروژه ای منحصر به فرد در ارائه اطلاعات بیطرفانه و عملی درباره امنیت برنامه(AppSec) نسبت به افراد، شرکت ها، دانشگاه ها، سازمان های دولتی و سایر سازمان های سراسر جهان می باشد و به عنوان جامعه ای از متخصصان همگرا عمل می کند که به ابزارهای نرم افزاری و مدارک مبتنی بر دانش امنیت برنامه می پردازند.
هر کس آزاد است در OWASP شرکت کند و اطلاعات آن کاملا رایگان و آزاد در دسترس هستند. شما همه چیز را درباره این پروژه در سایت رسمی این سازمان (owasp.org) می توانید پیدا کنید.
Top 10
یکی از معروف ترین پروژه های OWASP می باشد که جامعه آماری زیادی را به خود اختصاص داده. گر چه هدف اصلی پروژه Top10 صرفا برای بالا بردن آگاهی در میان توسعه دهندگان و مدیران است، این استاندارد به طور واقعی امنیت نرم افزار تبدیل شده است.
OWASP سازمان های بزرگ و پر طرفدار را (اگر به یک استاندارد واقعی احتیاج داشته باشند) به استفاده از استانداردهای تأیید امنیتی برنامه کاربردی (Application Security Verification Standard ASVS)شویق می کند ، اما برای اکثر موارد، Top 10 یک شروع عالی در سفر امنیتی برنامه می باشد.
نرم افزارهای ناامن مالیات، مراقبت های بهداشتی، دفاع، انرژی، و ... زیرساخت های حیاتی ما را تضعیف می کند. Top10 به مرور زمان تغییر میکند . حتی اگر یک خط کد برنامه شما تغییر نکند ، ممکن است آسیب پذیر شوید زیرا به مرور زمان نقص های جدید کشف شده و روشهای حمله اصلاح می شود. آسیب پذیری های امنیتی می تواند پیچیده و در عمق کدهایتان باشد.
در بسیاری از موارد، ارزان ترین روش برای پیدا کردن و حذف این نقاط ضعف، کارشناسانی هستند که از ابزارهای پیشرفته استفاده میکنند. تکیه بر ابزارها به تنهایی یک حس امنیتی دروغین است و توصیه نمی شود.
مهاجمان می توانند از طریق پرونده شما از مسیرهای مختلف استفاده کنند تا آسیب به کسب و کار و یا سازمان شما بزنند. هر یک از این مسیرها می تواند یک خطر جدی باشد که باید به آن توجه کرد. گاهی اوقات این مسیر ها برای پیدا کردن و بهره برداری بی اهمیت است، و گاهی اوقات بسیار دشوار است. آسیب ناشی از این امر ممکن است هیچ نتیجه ای نداشته باشد، یا ممکن است شما را از کسب و کارتان بیرون کند. برای تعیین خطر سازمان می توانید احتمال را با هر عامل تهدید(threat Agent)، بردار حمله(Attack Vector) و ضعف امنیتی(Security Weakness) مرتبط کنید و آن را با برآورد اثرات فنی و تجاری سازمان خود ترکیب کنید. این عوامل با هم خطرهای احتمالی شما را تعیین می کنند.
تغییرات اخیر Top 10 به شرح زیر است:
پروژه آزاد امنیت برنامه های کاربردی تحت وب
یک پروژه متن باز از یک سازمان غیر دولتی است که در آن معیارهایی برای امن تر شدن نرم افراز تحت وب تشریح شده است.
در واقع OWASP، یک منبع بی طرف اطلاعات در مورد بهترین شیوه ها و حامی استانداردهای باز در فضای امنیتی است که بر بهبود امنیت نرم افزار تمرکز دارد. ماموریت این پروژه این است که امنیت نرم افزار را قابل مشاهده کند تا افراد و سازمان ها بتوانند تصمیمات آگاهانه بگیرند.
پروژه OWASP پروژه ای منحصر به فرد در ارائه اطلاعات بیطرفانه و عملی درباره امنیت برنامه(AppSec) نسبت به افراد، شرکت ها، دانشگاه ها، سازمان های دولتی و سایر سازمان های سراسر جهان می باشد و به عنوان جامعه ای از متخصصان همگرا عمل می کند که به ابزارهای نرم افزاری و مدارک مبتنی بر دانش امنیت برنامه می پردازند.
هر کس آزاد است در OWASP شرکت کند و اطلاعات آن کاملا رایگان و آزاد در دسترس هستند. شما همه چیز را درباره این پروژه در سایت رسمی این سازمان (owasp.org) می توانید پیدا کنید.
Top 10
یکی از معروف ترین پروژه های OWASP می باشد که جامعه آماری زیادی را به خود اختصاص داده. گر چه هدف اصلی پروژه Top10 صرفا برای بالا بردن آگاهی در میان توسعه دهندگان و مدیران است، این استاندارد به طور واقعی امنیت نرم افزار تبدیل شده است.
OWASP سازمان های بزرگ و پر طرفدار را (اگر به یک استاندارد واقعی احتیاج داشته باشند) به استفاده از استانداردهای تأیید امنیتی برنامه کاربردی (Application Security Verification Standard ASVS)شویق می کند ، اما برای اکثر موارد، Top 10 یک شروع عالی در سفر امنیتی برنامه می باشد.
نرم افزارهای ناامن مالیات، مراقبت های بهداشتی، دفاع، انرژی، و ... زیرساخت های حیاتی ما را تضعیف می کند. Top10 به مرور زمان تغییر میکند . حتی اگر یک خط کد برنامه شما تغییر نکند ، ممکن است آسیب پذیر شوید زیرا به مرور زمان نقص های جدید کشف شده و روشهای حمله اصلاح می شود. آسیب پذیری های امنیتی می تواند پیچیده و در عمق کدهایتان باشد.
در بسیاری از موارد، ارزان ترین روش برای پیدا کردن و حذف این نقاط ضعف، کارشناسانی هستند که از ابزارهای پیشرفته استفاده میکنند. تکیه بر ابزارها به تنهایی یک حس امنیتی دروغین است و توصیه نمی شود.
مهاجمان می توانند از طریق پرونده شما از مسیرهای مختلف استفاده کنند تا آسیب به کسب و کار و یا سازمان شما بزنند. هر یک از این مسیرها می تواند یک خطر جدی باشد که باید به آن توجه کرد. گاهی اوقات این مسیر ها برای پیدا کردن و بهره برداری بی اهمیت است، و گاهی اوقات بسیار دشوار است. آسیب ناشی از این امر ممکن است هیچ نتیجه ای نداشته باشد، یا ممکن است شما را از کسب و کارتان بیرون کند. برای تعیین خطر سازمان می توانید احتمال را با هر عامل تهدید(threat Agent)، بردار حمله(Attack Vector) و ضعف امنیتی(Security Weakness) مرتبط کنید و آن را با برآورد اثرات فنی و تجاری سازمان خود ترکیب کنید. این عوامل با هم خطرهای احتمالی شما را تعیین می کنند.
تغییرات اخیر Top 10 به شرح زیر است:
Forwarded from استخدام
This media is not supported in your browser
VIEW IN TELEGRAM
آشنایی با مدرک VMware VCP7-CMA و سرفصل های آن (اخذ این مدرک برای کارشناسان Cloud که مبتنی بر محصولات ابری شرکت VMware موسوم به vRealize Suite کار می کنند، الزامی است). @iranopensource 🐧