⭕️ انواع قرارداد - بخش دوم
✍️ نادر خرمی راد

بازپرداخت هزینه (Cost Reimbursable): این همون چیزیه که تو ایران پیمان مدیریت گفته می‌شه. تو این حالت پیمانکار برای پروژه هزینه می‌کنه، صورت حساب هزینه‌ها رو می‌ده به کارفرما و پولش رو می‌گیره. قطعا یه پولی هم اضافه بر اون می‌گیره برای زحمتی که می‌کشه. پول اضافه‌ای که می‌گیره ممکنه یه مقدار ثابت باشه (مثلا کل هزینه‌ها رو بهش برمی‌گردونن به اضافه 100 میلیون تومن بابت سود و بالاسری‌هاش)، درصدی از هزینه‌ها باشه (هزینه‌ها رو بهش برمی‌گردونن با مثلا 10% اضافه) یا اون رو وابسته به پارامترهایی مثل عملکرد می‌کنن. بعضی وقت‌ها برای درصدی که به پیمانکار داده می‌شه یا برای کل پروژه سقف و کف هم می‌ذارن و ماجرا رو پیچیده‌تر می‌کنن. این نوع قرارداد مشکلات زیادی داره،‌ چون پیمانکار معمولا براش اهمیتی نداره که هزینه اضافه کنه (یا حتی از این بابت سود هم می‌بره، البته به جز بعضی حالت‌های خاص). به همین خاطر کارفرماهای دولتی خیلی از کشورها اجازه استفاده از این نوع قرارداد رو ندارن (اگه اشتباه نکنم ایران و آمریکا نمونه‌هایی از این کشورها هستن). کلا هم از این نوع قرارداد معمولا تو پروژه‌های کوچیک استفاده می‌شه.
دستمزدی (Time and Material) یا فهرست بهایی (Unit Price): تو حالت دستمزدی پیمانکار دستمزد کارهایی که کرده رو می‌گیره. مثلا 200 نفر ساعت برای کارفرما کار کرده، تو قرارداد اومده که هر نفرساعت چقدر پولشه، اون پول حساب می‌شه و به پیمانکار پرداخت می‌شه. ممکنه مصالح هم به عهده پیمانکار باشه و برای اون‌ها هم از اول حق الزحمه‌ای مشخص شده باشه. مثلا یه پروژه کوچیک برای سیم‌کشی یه ساختمون تعریف شده و قرارداد می‌گه که هر متر سیم‌کشی فلان مقدار هزینه داره؛ این می‌شه دستمزدی. وقتی مصالح هم وسط کشیده بشه، طبیعت قرارداد دستمزدی به قرارداد همخانواده‌ش، یعنی فهرست بهایی نزدیک می‌شه. فکر می‌کنم همه قراردادهای فهرست بهایی رو بشناسن. یه فهرست بهایی وجود داره که قیمت واحد انواع و اقسام کارها توش مشخص شده و پیمانکار به ازای مقدار کاری که انجام می‌ده صورت وضعیتش حساب می‌شه.
هرکدوم از این نوع قراردادها ممکنه تو دلشون نوع دیگه‌ای رو هم داشته باشن. مثلا فکر می‌کنم اکثرتون اقلام فاکتوری رو تو قراردادهای فهرست بهایی بشناسین. یه سری از کارهای این نوع قراردادها تو فهرست بها پوشش داده نمی‌شه و در این حالت پیمانکار بعد از این‌که هزینه می‌کنه، فاکتور هزینه‌ها رو می‌ده به کارفرما و اون پول رو به همراه ضرایبش می‌گیره. یعنی در واقع یه حالت پیمان مدیریتی کوچیک تو دل حالت فهرست بهایی وجود داره. نمونه دیگه قراردادهای قیمت ثابته؛ معمولا توصیه می‌شه تو دل قراردادهای قیمت ثابت یه سری بهای فهرستی هم برای کارهای اضافه احتمالی مشخص بشه تا اگه کاری به پیمانکار اضافه شد دیگه گرفتار تعیین هزینه‌شون نشیم و اون‌ها رو به حالت فهرست بهایی حساب کنیم.

⭕️ انواع قرارداد - بخش سوم
✍️ نادر خرمی راد

‎حالا یه ماجرای مهم دیگه ارتباط بین ارکان پروژه‌س. این دسته‌بندی رو نمی‌شه مثل قبلی جامع و مانع کرد و واقعیت اینه که به نظر میاد حالت‌هاش نامحدود باشن. در نتیجه من فقط تعدادی از رایج‌ترین‌هاش رو می‌گم:

- حالت Design-Bid-Build: تو این حالت یه شرکت کار طراحی رو انجام می‌ده، بعد از این‌که طراحی تموم شد یه مناقصه برگزار می‌کنن و پیمانکاری برای ساخت اون پروژه‌ای که طراحی شده انتخاب می‌کنن. این همون حالتیه که تو ایران برای پروژه‌های معمولی دولتی به کار می‌ره. یه مشاور هست که طراحی می‌کنه و یه پیمانکار هست که ساخت رو انجام می‌ده. قطعا قیمت قرارداد هرکدوم از این دوتا شرکت هم می‌تونه هرکدوم از اون سه حالت گفته شده باشه، ولی کلا چون در زمان مناقصه طراحی انجام شده، به راحتی می‌شه با پیمانکار قرارداد قیمت ثابت بست و در نتیجه سراغ دو نوع قرارداد دیگه که ریسک زیادی برای کارفرما داره نمی‌رن. تو ایران تو این حالت قرارداد پیمانکار رو فهرست بهایی می‌بندن، شاید به این خاطر باشه که طراحی معمولا با عجله انجام می‌شه و بعد از تکمیل طراحی هم خیلی‌ها روش اعمال نظر می‌کنن و گاهی حتی پیش از تکمیل طراحی با پیمانکار قرارداد می‌بندن.

- حالت Design-Build یا Design-Construct: تو این حالت طراحی و اجرا رو یه شرکت انجام می‌ده. دوتا اسمی که گفتم معمولا زمانی به کار می‌ره که پروژه ساختمانی، عمرانی، راه‌سازی و امثال اون‌ها باشه. اگه پروژه ساخت کارخانه یا نفت و گازی باشه معمولا بهش می‌گن EPC، که مخفف Engineering, Procurement, Construction هست؛ معنی ساده‌ش اینه: همه کارها رو یه شرکت انجام می‌ده. خیلی وقت‌ها اون شرکت خودش از پیمانکارهای دست دوم کمک می‌گیره، ولی در هر حال کل کار متعلق به اونه و در قبالش مسئولیت کامل داره.

OWASP (Open Web Application Security Project)
پروژه آزاد امنیت برنامه های کاربردی تحت وب



یک پروژه متن باز از یک سازمان غیر دولتی است که در آن معیارهایی برای امن تر شدن نرم افراز تحت وب تشریح شده است.

در واقع OWASP، یک منبع بی طرف اطلاعات در مورد بهترین شیوه ها و حامی استانداردهای باز در فضای امنیتی است که بر بهبود امنیت نرم افزار تمرکز دارد. ماموریت این پروژه این است که امنیت نرم افزار را قابل مشاهده کند تا افراد و سازمان ها بتوانند تصمیمات آگاهانه بگیرند.

پروژه OWASP پروژه ای منحصر به فرد در ارائه اطلاعات بیطرفانه و عملی درباره امنیت برنامه(AppSec) نسبت به افراد، شرکت ها، دانشگاه ها، سازمان های دولتی و سایر سازمان های سراسر جهان می باشد و به عنوان جامعه ای از متخصصان همگرا عمل می کند که به ابزارهای نرم افزاری و مدارک مبتنی بر دانش امنیت برنامه می پردازند.

هر کس آزاد است در OWASP شرکت کند و اطلاعات آن کاملا رایگان و آزاد در دسترس هستند. شما همه چیز را درباره این پروژه در سایت رسمی این سازمان (owasp.org) می توانید پیدا کنید.

Top 10

یکی از معروف ترین پروژه های OWASP می باشد که جامعه آماری زیادی را به خود اختصاص داده. گر چه هدف اصلی پروژه Top10 صرفا برای بالا بردن آگاهی در میان توسعه دهندگان و مدیران است، این استاندارد به طور واقعی امنیت نرم افزار تبدیل شده است.

OWASP سازمان های بزرگ و پر طرفدار را (اگر به یک استاندارد واقعی احتیاج داشته باشند) به استفاده از استانداردهای تأیید امنیتی برنامه کاربردی (Application Security Verification Standard ASVS)شویق می کند ، اما برای اکثر موارد، Top 10 یک شروع عالی در سفر امنیتی برنامه می باشد.

نرم افزارهای ناامن مالیات، مراقبت های بهداشتی، دفاع، انرژی، و ... زیرساخت های حیاتی ما را تضعیف می کند. Top10 به مرور زمان تغییر میکند . حتی اگر یک خط کد برنامه شما تغییر نکند ، ممکن است آسیب پذیر شوید زیرا به مرور زمان نقص های جدید کشف شده و روشهای حمله اصلاح می شود. آسیب پذیری های امنیتی می تواند پیچیده و در عمق کدهایتان باشد.

در بسیاری از موارد، ارزان ترین روش برای پیدا کردن و حذف این نقاط ضعف، کارشناسانی هستند که از ابزارهای پیشرفته استفاده میکنند. تکیه بر ابزارها به تنهایی یک حس امنیتی دروغین است و توصیه نمی شود.

مهاجمان می توانند از طریق پرونده شما از مسیرهای مختلف استفاده کنند تا آسیب به کسب و کار و یا سازمان شما بزنند. هر یک از این مسیرها می تواند یک خطر جدی باشد که باید به آن توجه کرد. گاهی اوقات این مسیر ها برای پیدا کردن و بهره برداری بی اهمیت است، و گاهی اوقات بسیار دشوار است. آسیب ناشی از این امر ممکن است هیچ نتیجه ای نداشته باشد، یا ممکن است شما را از کسب و کارتان بیرون کند. برای تعیین خطر سازمان می توانید احتمال را با هر عامل تهدید(threat Agent)، بردار حمله(Attack Vector) و ضعف امنیتی(Security Weakness) مرتبط کنید و آن را با برآورد اثرات فنی و تجاری سازمان خود ترکیب کنید. این عوامل با هم خطرهای احتمالی شما را تعیین می کنند.

تغییرات اخیر Top 10 به شرح زیر است:

استخدام برنامه نویس node.js در یک تیم استارت آپی با سواد و حرفه ای
#nodejs
#HIRING

@iranopensource 🐧

@iranopensource 🐧

آشنایی با مدرک VMware VCP7-CMA و سرفصل های آن (اخذ این مدرک برای کارشناسان Cloud که مبتنی بر محصولات ابری شرکت VMware موسوم به vRealize Suite کار می کنند، الزامی است). @iranopensource 🐧

ارتباطات در دنیای اینترنت بر مبنای پروتکل BGP هست به این معنی که روترهای Core در دنیای اینترنت برای هدایت ترافیک به مقاصد مختلف از BGP استفاده می کنن.

در اواخر دهه ی 1980 بود که BGP رسما منتشر شد و با استفاده از اون روترها می تونستن به تبادل اطلاعات با هم بپردازن و از میون تعداد بیشماری مسیر برای ارسال داده ها در دنیای اینترنت، بتونن بهترین مسیر رو انتخاب کنن. در اون زمان، امنیت یک مساله ی مهم و جدی به حساب نمیومد و مثل خیلی از پروتکل های دیگه ای که در اون زمان معرفی شدن و برای اون ها هیچ ملاحظات امینتی در نظر گرفته نمی شد، BGP هم از این قاعده مستثنی نبود.

اما با گذشت زمان کم کم مشکلات امنیتی پررنگ و پررنگ تر شدن. تا جایی که این روزها مدام خبرهایی از hijack مسیرها در دنیای اینترنت، مسیرهای انحرافی و ... به گوش می رسه. BGP که در حال حاضر در دنیای اینترنت گسترش یافته، در حقیقت هیچ مکانیسم دفاع داخلی نداره و علت بروز چنین حملات و آسیب پذیری هایی هم به همین دلیل هست.

اما مجموعه ای از استانداردها تحت عنوان Secure Inter-Domain Routing ( یا SIDR) توسط IETF منتشر شدن که نشون دهنده ی اولین تلاش ها برای دفاع از سیستم مسیریابی اینترنتی در برابر حملات هستن.

این مکانیسم دفاعی بر پایه ی روش های رمزنگاری هست تا این اطمینان حاصل بشه که داده ها فقط از مسیرهایی که براشون مجاز تعریف میشه، عبور کنن. سه بخش اصلی که IETF SIDR در حال کار بر روی اون ها هست عبارتند از:

1- Resource Public Key Infrastructure (RPKI)
که در واقع به دارندگان بلوک هایی از آدرس های اینترنتی مثل فراهم کنندگان خدمات ابری، این امکان رو میده که تعیین کنن چه شبکه هایی می تونن یک direct connection با آدرس های بلوکشون داشته باشن.

2- BGP Origin Validation
که به روترها این امکان رو میده که با استفاده از اطلاعات RPKI بتونن مسیرهای BGP تبلیغی که غیرمجاز هستن رو فیلتر بکنن و به این ترتیب جلوی حملاتی مثل hijack مسیرها گرفته بشه.

3- BGP Path Validation
که تحت عنوان BGPsec شناخته میشه و RFC مربوط به اون اخیرا توسط IETF منتشر شده، در واقع نوآوری جدیدی هست که این امکان رو برای روترها فراهم میکنه تا با استفاده از امضای دیجیتال مطمئن بشن که کل مسیردر دنیای اینترنت از شبکه های مجاز عبور کرده.

کد های #لینوکس جهت بدست آوردن اطلاعات سیستم
✔️کد date – تاریخ و ساعت جاری را نمایش می‌دهد.

✔️کد cal – تقویم ماه‌هااع را نمایش می‌دهد.

✔️کد uptime – زمان روشن بودن سیستم و کاربران فعال را نشان می‌دهد.

✔️کدw – کاربران جاری که از سیستم استفاده می‌کنند را همراه با توضیحاتی درباره استفاده آن‌ها نشان می‌دهد. دستور شامل اطلاعات خروجی دستور ‌uptime نیز هست.

✔️کد whoami – کاربر جاری که شما اکنون از طریق آن با سیستم کار می‌کنید را نمایش می‌دهد.

✔️ کدfinger user – اطلاعاتی درباره کاربری user (به جای آن نام‌کاربری مورد نظر را بنویسید) در اختیار شما می‌گذارد.

✔️ کدuname – نام سیستم یونیکس شما که همان لینوکس است را نمایش می‌دهد.

✔️کد uname -a – دستور uname همراه با سویچ a اطلاعات تکمیلی از سیستم‌عامل شما شامل نسخه کرنل لینوکس را نمایش می‌دهد.

✔️کد cat /proc/cpuinfo – نمایش اطلاعات پردازنده (CPU).

✔️ کد cat /proc/meminfo – نمایش اطلاعات حافظه اصلی (RAM).

✔️کد df – مقدار استفاده از دیسک‌های حافظه را نمایش می‌دهد.

✔️کد du – مقدار فضای استفاده شده تمامی دایرکتوری ها

✔️کد free – نمایش فضاهای خالی و استفاده شده حافظه رم و سواپ (swap)

مراحل tshoot کردن شبکه!!!

امنیت شبکه (این داستان backup گیری!!!)

آشنایی با برنامه #مانیتورینگ قدرتمند #Zabbix و تست قابلیت های آن بصورت آنلاین در لینک زیر ... (به صورت sign in as guest لاگین کنید)
https://zabbix.org/zabbix/

HTML vs. CSS

@iranopensource 🐧

معرفی مدارک مجازی سازی شرکت VMware

دستورات فایل در لینوکس
بخش اول

✔️ کدls – گرفتن لیست محتویات مسیر جاری شامل پوشه و فایل ها.

✔️کدls -l – دستور ‌ls همراه با سویچ l لیست محتویات مسیر جاری را با اطلاعات کامل نمایش می‌دهد.

✔️کد ls -laC – مانند دستور ls -l است اما اطلاعات را به صورت ستونی نشان می‌دهد.

✔️ کدls -F – سویچ f در دستور ls لیست محتویات را همراه با فرمت فایل‌ها نمایش می‌دهد.

✔️ کدls -al – سویچ a در دستور ls لیست فایل‌ها را همراه با فایل‌های مخفی نشان می‌دهد. (فایل و پوشه مخفی در لینوکس یک نقطه قبل نام خود دارند)

✔️ کدcd dir – تغییر مسیر جاری به شاخه مورد نظر (بجای dir پوشه مورد نظر را وارد کنید)

✔️ کدcd – مسیر جاری را به مسیر اصلی (home) بر می‌گرداند. (مسیر اصلی برای هر کاربر متفاوت است که پوشه‌های شخصی و تنظیمات در آن‌جا قرار می‌گیرند).

✔️کد mkdir dir – ساخت یک شاخه (به جای dir نام پوشه که می‌خواهید بسازید را بنویسید).

✔️ کدpwd – مسیر جاری را نشان می‌دهد.

✔️ کدrm name – حذف (پاک کردن) فایل یا دایرکتوری مورد نظر (به جای name نام فایل یا پوشه نوشته می‌شود).

✔️ کدrm -r dir – حذف یک دایرکتوری با محتویات درون آن (به جای dir نام پوشه را بنویسید).

✔️ کدrm -f file – اجبار کردن به حذف یک فایل برای مواقعی که فایل به دلایلی حذف نمی‌شود (نام فایل بجای file نوشته می‌شود).

✔️ کدrm -rf dir – اجبار کردن به حذف یک دایرکتوری برای مواقعی که آن به دلایلی حذف نمی‌شود (نام پوشه بجای dir نوشته dir میشود.