[{"data":1,"prerenderedAt":403},["ShallowReactive",2],{"article-defectdojo-vulnerability-management-devsecops":3,"related-article":31,"header-services":328},{"id":4,"title":5,"slug":-1,"excerpt":6,"content":7,"categoryId":8,"categorySlug":9,"categoryTitle":10,"categoryImage":11,"author":12,"publishedAt":15,"readTime":16,"image":17,"tags":18,"tagsFa":22,"views":4},0,"DefectDojo چیست؟ راهنمای کامل مدیریت آسیب‌پذیری در DevSecOps","DefectDojo گزارش‌های امنیتی پراکنده را به یک مرکز فرماندهی واحد تبدیل می‌کند تا آسیب‌پذیری‌ها سریع‌تر، دقیق‌تر و قابل‌ردیابی‌تر مدیریت شوند.","\u003Cp>در دنیای امنیت نرم‌افزار، چالش اصلی معمولاً «نبود ابزار» نیست؛ چالش واقعی این است که ابزارهای مختلف، داده‌های بسیار زیاد، تکراری و گاهی متناقض تولید می‌کنند. یک تیم امنیتی ممکن است هم‌زمان از SAST، DAST، SCA، Container Scanning، IaC Scanning، Pentest Report و حتی Manual Review استفاده کند. هرکدام از این ابزارها حقیقتی از سطح حمله را نشان می‌دهند، اما مشکل اینجاست که این حقیقت‌ها در قالب‌های متفاوت، با شدت‌های مختلف و اغلب بدون context واحد گزارش می‌شوند.\u003C/p>\u003Cp>\u003Cstrong>DefectDojo\u003C/strong> دقیقاً برای حل همین مسئله طراحی شده است: یک پلتفرم متن‌باز برای vulnerability management، DevSecOps و ASPM که می‌تواند نتایج ابزارهای گوناگون را دریافت کند، نرمال‌سازی نماید، موارد تکراری را حذف یا هم‌ارزسازی کند، و آن‌ها را در قالب یک جریان عملیاتی قابل‌مدیریت برای remediation، reporting، SLA tracking و issue tracking ارائه دهد. در واقع، DefectDojo فقط یک dashboard نیست؛ یک مرکز فرماندهی امنیت است.&nbsp;\u003C/p>\u003Cblockquote>\u003Cp>اگر هنوز با فلسفه DevSecOps آشنا نیستید، پیشنهاد می‌کنیم ابتدا مقاله «\u003Ca href=\"https://new.dornadevops.com/blog/devops/devsecops-2026-security-in-ci-cd-cloud/\">DevSecOps چیست؟\u003C/a> تزریق امنیت به CI/CD و زیرساخت‌های ابری» را مطالعه کنید تا بهتر متوجه شوید DefectDojo در چه نقطه‌ای از چرخه امنیت قرار می‌گیرد.\u003C/p>\u003C/blockquote>\u003Cp>در نسخه OpenSource، این پلتفرم برای تیم‌هایی که می‌خواهند با هزینه کم اما با ساختار حرفه‌ای شروع کنند، امکاناتی مثل \u003Cstrong>import/reimport \u003C/strong>برای بیش از 200 ابزار امنیتی، REST API، deduplication، Jira integration و مدل داده منظم را فراهم می‌کند. در سوی دیگر، نسخه Pro امکانات پیشرفته‌تری مانند metrics بهتر، priority/risk triage، rules engine، advanced deduplication و connectorهای بیشتر ارائه می‌دهد. نتیجه این است که DefectDojo هم برای یک تیم کوچک AppSec مناسب است و هم برای یک سازمان بزرگ با چندین pipeline، چندین محصول و چندین تیم توسعه.&nbsp;\u003C/p>\u003Cblockquote>\u003Cp>اگر بخواهیم خیلی روشن بگوییم، DefectDojo همان نقطه‌ای است که خروجی‌های Semgrep، ZAP، Burp، Trivy، SCA Scannerها، Pentest Reportها و حتی یافته‌های دستی را از وضعیت «فایل‌های جداگانه و پراکنده» به وضعیت «یک سیستم مدیریتی منسجم و قابل‌ردیابی» منتقل می‌کند. این یعنی امنیت از حالت reactive و پراکنده، به یک فرآیند measurable، traceable و قابل‌تصمیم‌گیری تبدیل می‌شود.\u003C/p>\u003C/blockquote>\u003Chr>\u003Ch3>۱. بحران ابزارهای امنیتی جزیره‌ایز\u003C/h3>\u003Cp>در معماری‌های مدرن، به‌ویژه در تیم‌هایی که با CI/CD، میکروسرویس‌ها، کانتینرها و releaseهای مداوم سروکار دارند، امنیت دیگر یک فعالیت تک‌مرحله‌ای نیست. یک ابزار SAST ممکن است در کد منبع خطا پیدا کند، یک اسکنر SCA همان خطا را در dependencyها نشان دهد، یک \u003Cstrong>DAST\u003C/strong> آن را در \u003Cstrong>runtime \u003C/strong>ببیند، و یک تیم pentest هم همان باگ را به شکل دستی گزارش کند. اگر این داده‌ها در یک سیستم متمرکز جمع نشوند، تیم امنیت با حجم زیادی از هشدارهای تکراری، \u003Cstrong>false positive\u003C/strong>ها، تناقض‌ها و گزارش‌های غیرقابل‌اقدام مواجه می‌شود.\u003C/p>\u003Cp>\u003Cstrong>DefectDojo دقیقاً برای رفع همین پراکندگی ساخته شده \u003C/strong>و می‌تواند گزارش‌های صدها ابزار تجاری و متن‌باز را وارد کند، آن‌ها را به یک مدل یکنواخت تبدیل کند و از داخل آن یک تصویر واحد از وضعیت امنیتی سازمان بسازد. این یکپارچه‌سازی فقط برای زیبایی داشبورد نیست؛ هدف اصلی آن کاهش noise و افزایش کیفیت تصمیم‌گیری است.&nbsp;\u003Cbr>در عمل، وقتی یک vulnerability از سه مسیر مختلف گزارش می‌شود، تیم نمی‌خواهد سه ticket جداگانه، سه چرخه triage و سه پیگیری مجزا داشته باشد. تیم به یک finding واحد نیاز دارد که همه شواهد، همه منبع‌ها و همه وضعیت‌ها را در خودش جمع کند. DefectDojo این مسئله را با ساختار داخلی خود، deduplication، و context‌سازی روی محصول و test حل می‌کند.&nbsp;\u003Cbr>\u003Cstrong>مثال عملی:\u003C/strong>\u003Cbr>فرض کن Semgrep در یک کنترلر ASP.NET MVC یک مشکل XSS پیدا می‌کند. همان روز Burp در مسیر HTTP همان endpoint را report می‌کند و یک pentest manual هم همان مشکل را تأیید می‌کند. اگر این داده‌ها در سه ابزار جدا باقی بمانند، تیم توسعه سه‌بار درگیر می‌شود. اما اگر همه آن‌ها داخل DefectDojo وارد شوند، به یک picture واحد می‌رسیم: یک vulnerability اصلی با چندین observation. این دقیقاً همان چیزی است که vulnerability fatigue را کاهش می‌دهد.\u003C/p>\u003Cp>داشبورد و Hero Image👇\u003C/p>\u003Cfigure class=\"image\">\u003Cimg style=\"aspect-ratio:2786/1244;\" src=\"https://api.dornadevops.com/media/articles/posts/%D8%AF%D8%A7%D8%B4%D8%A8%D9%88%D8%B1%D8%AF%20%D9%88%20Hero%20Image.png\" alt=\"داشبورد و Hero Image\" width=\"2786\" height=\"1244\">\u003C/figure>\u003Chr>\u003Ch3>۲. کالبدشکافی مدل داده‌ای DefectDojo\u003C/h3>\u003Cp>قدرت واقعی DefectDojo در UI آن نیست؛ در مدل داده‌ای ساخت‌یافته آن است. این پلتفرم امنیت را نه به‌عنوان یک collection از گزارش‌ها، بلکه به‌عنوان یک hierarchy عملیاتی سازمان‌دهی می‌کند. هسته این مدل از چند لایه اصلی تشکیل شده است: Product Type، Product، Engagement، Test و Finding؛ و در سطح جزئی‌تر، Endpointها نیز برای ثبت محل وقوع آسیب‌پذیری استفاده می‌شوند.\u003C/p>\u003Cp>\u003Cstrong>Product Type\u003C/strong>\u003C/p>\u003Cp>Product Type معمولاً سطحی است برای دسته‌بندی کسب‌وکاری یا سازمانی. مثلاً می‌توانی محصولاتی را که متعلق به یک دپارتمان، یک domain تجاری یا یک تیم توسعه خاص هستند زیر یک Product Type قرار دهی. این سطح برای مدیریت permissionها، grouping و سیاست‌های امنیتی بسیار مهم است. اگر سازمان بزرگ باشد، این لایه می‌تواند مرز بین چند تیم یا چند خط محصول را مشخص کند.\u003Cbr>\u003Cstrong>Product\u003C/strong>\u003C/p>\u003Cp>Product در واقع همان سرویس، برنامه، اپلیکیشن یا پروژه‌ای است که امنیت آن را می‌خواهی مدیریت کنی. برای مثال، `Web App`, `Mobile App`, `Auth Service`, `Payment Gateway` یا `Admin Panel` همگی می‌توانند Product باشند. هر Product می‌تواند چندین Engagement، چندین Test و تعداد زیادی Finding داشته باشد. این لایه برای mapping امنیت به دارایی واقعی سازمان حیاتی است.\u003C/p>\u003Cp>\u003Cstrong>Engagement\u003C/strong>\u003C/p>\u003Cp>Engagement یک بازه کاری، کمپین تست یا چرخه ارزیابی امنیتی است. مثلاً می‌توانی برای هر release cycle، هر quarter، هر pentest campaign یا هر برنامه remediation یک Engagement جدا تعریف کنی. Engagement کمک می‌کند یافته‌ها در context زمانی و پروژه‌ای درست قرار بگیرند. این یعنی فرق بین یک finding در «Q1 Release 2026» و همان finding در «PostLaunch Hardening» کاملاً مشخص می‌شود.\u003C/p>\u003Cp>\u003Cstrong>Test\u003C/strong>\u003C/p>\u003Cp>Test ظرفی است که نتایج یک اسکن یا یک ارزیابی را در خود نگه می‌دارد. هر Test معمولاً به یک ابزار، یک اجرا یا یک snapshot خاص از وضعیت امنیتی مربوط است. مثلاً یک Test می‌تواند خروجی Semgrep، دیگری خروجی ZAP و سومی خروجی Trivy باشد. مزیت این لایه این است که تاریخچه ابزار، زمان اجرا، نوع scan و context مربوطه حفظ می‌شود.\u003C/p>\u003Cp>\u003Cstrong>Finding\u003C/strong>\u003C/p>\u003Cp>Finding کوچک‌ترین واحد عملیاتی در DefectDojo است؛ یعنی همان vulnerability، issue، misconfiguration یا weakness که باید بررسی شود. هر Finding می‌تواند severity، description، evidence، file path، line number، endpoints، CWE، CVE، tags و وضعیت remediation داشته باشد. در عمل، همه چیز حول Finding می‌چرخد: triage، deduplication، push به Jira، status update و reporting. )\u003C/p>\u003Cp>\u003Cstrong>Endpoint\u003C/strong>\u003C/p>\u003Cp>Endpoint برای ثبت نقطه دقیق وقوع vulnerability استفاده می‌شود. مثلاً URL، route، API path، IP، domain، port یا حتی یک مسیر خاص در اپلیکیشن می‌تواند Endpoint باشد. این سطح جزئی‌نگری باعث می‌شود security team فقط بداند «مشکلی وجود دارد» نباشد، بلکه دقیقاً بداند «کجا»، «در چه مسیر»، و «در چه سطحی» مسئله رخ داده است.\u003C/p>\u003Cp>\u003Cstrong>مثال عملی:\u003C/strong>\u003Cbr>فرض کن سه محصول داری: `Web App`, `Mobile App` و `Auth Service`. برای هرکدام یک Product Type تعریف می‌کنی. سپس برای هر release یا فصل، یک Engagement مثل `Q2 2026 Security Scan` می‌سازی. داخل آن چند Test ایجاد می‌کنی: Semgrep، ZAP و Dependency Scan. حالا هر Finding دقیقاً می‌گوید که مشکل در کدام محصول، در کدام اسکن، در کدام مسیر و با کدام منبع کشف شده است. این سطح از context چیزی نیست که از فایل خام CSV یا PDF به‌راحتی به‌دست بیاید.\u003C/p>\u003Chr>\u003Ch3>۳. Deduplication؛ جادوی حذف هوشمند تکراری‌ها\u003C/h3>\u003Cp>یکی از مهم‌ترین مشکلات در امنیت نرم‌افزار، duplicate finding است. یک باگ واحد ممکن است در چند اسکن، با چند ابزار و با چند فرمت مختلف گزارش شود. اگر سیستم مدیریت آسیب‌پذیری نتواند این موارد را به‌درستی تشخیص دهد، تیم امنیت در دریایی از تکرار غرق می‌شود. DefectDojo دقیقاً برای ingest کردن گزارش‌های bulk طراحی شده و deduplication را به‌عنوان یک قابلیت مرکزی در نظر گرفته است، نه یک feature جانبی.\u003C/p>\u003Cp>\u003Cstrong>منطق deduplication چگونه عمل می‌کند؟\u003C/strong>\u003C/p>\u003Cp>وقتی چند Test در یک Product یک آسیب‌پذیری مشابه را نشان دهند، DefectDojo می‌تواند آن‌ها را به‌عنوان duplicate تشخیص دهد. در این حالت، معمولاً یک Finding به‌عنوان اصلی باقی می‌ماند و موارد بعدی به‌عنوان duplicate ثبت می‌شوند تا تیم فقط یک نقطه اقدام داشته باشد. این کار باعث می‌شود remediation workflow ساده‌تر، دقیق‌تر و قابل‌پیگیری‌تر شود.&nbsp;\u003Cbr>Deduplication بر اساس چه چیزهایی انجام می‌شود؟\u003C/p>\u003Cp>در نسخه OpenSource، deduplication از طریق تنظیمات و environment variableها قابل‌تنظیم است. الگوریتم‌هایی مانند `unique_id_from_tool`، `hash_code` یا ترکیب آن‌ها می‌توانند تعیین کنند که یک finding چقدر شبیه finding قبلی است. فیلدهایی مانند `title`, `severity`, `cwe`, `vulnerability_ids`, `file_path`, `line` و حتی endpoint می‌توانند در hash وارد یا از آن حذف شوند. این انعطاف برای ابزارهای مختلف بسیار مهم است، چون همه اسکنرها یکسان رفتار نمی‌کنند.&nbsp;\u003Cbr>Crosstool deduplication\u003C/p>\u003Cblockquote>\u003Cp>یکی از ارزشمندترین بخش‌ها این است که بتوانی findingهای تولیدشده توسط ابزارهای متفاوت را هم به‌صورت هوشمند به هم ربط بدهی. برای مثال، Trivy یک dependency آسیب‌پذیر را در image گزارش می‌کند، Semgrep همان weakness را در کد تشخیص می‌دهد و ZAP نیز اثر آن را در runtime می‌بیند. اگر deduplication خوب تنظیم شده باشد، این سه سیگنال به یک مسئله واحد تبدیل می‌شوند. در Pro edition، تنظیمات پیشرفته‌تری مانند `Hash Code` و `Global Component` برای سناریوهای SCA نیز در دسترس‌اند.\u003C/p>\u003C/blockquote>\u003Cp>\u003Cstrong>مثال عملی:\u003C/strong>\u003Cbr>یک dependency قدیمی در `pom.xml` باعث می‌شود یک آسیب‌پذیری در لایه Java Backend وجود داشته باشد. Semgrep آن را در source code منعکس می‌کند، Trivy آن را در container image می‌بیند، و یک SCA scanner هم نسخه آسیب‌پذیر package را گزارش می‌دهد. اگر این‌ها مستقل بمانند، تیم سه issue خواهد داشت. اما اگر deduplication درست تنظیم شود، DefectDojo آن‌ها را در یک finding اصلی جمع می‌کند و فقط شواهد را از چند منبع نگه می‌دارد.\u003C/p>\u003Cfigure class=\"image\">\u003Cimg style=\"aspect-ratio:1280/1031;\" src=\"https://api.dornadevops.com/media/articles/posts/%D9%85%D8%AF%D9%84%20%D8%AF%D8%A7%D8%AF%D9%87%D8%A7%DB%8C%20(Hierarchy).png\" alt=\"مدل داده‌ای (Hierarchy)\" width=\"1280\" height=\"1031\">\u003C/figure>\u003Chr>\u003Ch3>۴. Import و Reimport؛ قلب جریان داده در DefectDojo\u003C/h3>\u003Cp>در DefectDojo، ورود داده فقط «آپلود یک فایل» نیست؛ بلکه بخشی از یک lifecycle دقیق است. دو مفهوم بسیار مهم در این سیستم Import و Reimport هستند.\u003C/p>\u003Cp>\u003Cstrong>Import\u003C/strong>\u003C/p>\u003Cp>Import زمانی استفاده می‌شود که یک گزارش امنیتی را برای اولین‌بار وارد می‌کنی. این گزارش به‌عنوان snapshot از وضعیت امنیتی در یک نقطه زمانی خاص ذخیره می‌شود. Import برای شروع کار، ورود نتایج اولیه یا ingestion از ابزار جدید بسیار مهم است.\u003C/p>\u003Cp>\u003Cstrong>Reimport\u003C/strong>\u003C/p>\u003Cp>Reimport زمانی به‌کار می‌رود که همان scan به‌صورت دوره‌ای یا در pipeline تکرار می‌شود و تو می‌خواهی همان Test قبلی را با نتایج جدید به‌روزرسانی کنی. در این حالت، DefectDojo findingهای جدید، رفع‌شده، باقی‌مانده و duplicate را نسبت به داده قبلی مقایسه می‌کند. این ویژگی برای tracking تغییرات واقعی بسیار ارزشمند است، چون به‌جای ساختن تاریخچه‌های جداگانه و گاهی آشفته، یک history منظم و قابل‌تحلیل تولید می‌شود.\u003C/p>\u003Cp>\u003Cstrong>API v2 و اتوماسیون\u003C/strong>\u003C/p>\u003Cp>در API v2، import و reimport از طریق endpointهای `importscan` و `reimportscan` انجام می‌شوند. اگر `auto_create_context` فعال باشد، DefectDojo می‌تواند Product Type، Product، Engagement و حتی Test را خودکار ایجاد کند. این قابلیت برای CI/CD بسیار حیاتی است، چون دیگر لازم نیست همه چیز را دستی در UI بسازی. خود pipeline می‌تواند context را ایجاد و نتایج را وارد کند.\u003C/p>\u003Cp>\u003Cstrong>بهترین الگو برای pipelineها\u003C/strong>\u003C/p>\u003Cp>مستندات توصیه می‌کنند که هر repository یا pipeline یک Engagement مشخص داشته باشد و هر اجرای تکراری به همان Test مرتبط شود. در این الگو، به‌جای ساخت Test جدید در هر بار اجرا، از Reimport استفاده می‌شود تا history تمیز بماند و نویز کمتر شود. این کار مخصوصاً برای trend analysis، vulnerability aging و اندازه‌گیری MTTR بسیار مفید است.\u003C/p>\u003Cp>\u003Cstrong>مثال عملی:\u003C/strong>\u003Cbr>در یک GitLab pipeline، Semgrep و یک SCA scanner هر شب اجرا می‌شوند. شب اول، نتایج Import می‌شوند. شب‌های بعدی، همان Testها Reimport می‌شوند. نتیجه این است که DefectDojo دقیقاً نشان می‌دهد چه finding جدیدی اضافه شده، کدام مورد رفع شده و کدام مورد هنوز باز است. این مدل برای تیم‌هایی که release مداوم دارند، یک نعمت واقعی است.\u003C/p>\u003Chr>\u003Ch3>۵. ادغام با Jira و سیستم‌های Issue Tracking\u003C/h3>\u003Cp>امنیت زمانی مؤثر می‌شود که به فرآیند توسعه وصل شود. اگر vulnerability فقط در یک dashboard امنیتی بماند و به کار توسعه نرسد، ارزش عملی آن محدود می‌شود. DefectDojo برای همین سناریو، integration با Jira و دیگر ابزارهای issue tracking را ارائه می‌دهد.\u003C/p>\u003Cp>\u003Cstrong>Jira sync\u003C/strong>\u003C/p>\u003Cp>DefectDojo می‌تواند Findingها را به Jira push کند و از طریق webhook یا sync معکوس، وضعیت issueها را دوباره به DefectDojo برگرداند. این یعنی امنیت و توسعه از هم جدا نیستند؛ بلکه در یک گردش کار مشترک حرکت می‌کنند.\u003C/p>\u003Cp>\u003Cstrong>Bidirectional workflow\u003C/strong>\u003C/p>\u003Cp>در یک workflow دوطرفه، finding در DefectDojo ایجاد می‌شود، یک Jira issue برای آن ساخته می‌شود، تیم توسعه آن را در sprint قرار می‌دهد، سپس پس از اصلاح، status در Jira تغییر می‌کند و این تغییر در DefectDojo هم دیده می‌شود. چنین مدلی باعث می‌شود امنیت از حالت «فهرست هشدارها» به «فرآیند اجرایی» تبدیل شود.\u003C/p>\u003Cp>\u003Cstrong>پشتیبانی از چند پلتفرم\u003C/strong>\u003C/p>\u003Cp>در نسخه Pro، علاوه بر Jira، اتصال به Azure DevOps، GitHub، GitLab Boards و ServiceNow هم پشتیبانی می‌شود. این موضوع مهم است، چون همه سازمان‌ها از Jira استفاده نمی‌کنند و بعضی تیم‌ها باید remediation را در ابزارهای فعلی خودشان مدیریت کنند. DefectDojo در اینجا نقش لایه امنیتی را بازی می‌کند، نه لایه جایگزین مدیریت پروژه.\u003C/p>\u003Cp>\u003Cstrong>مثال عملی:\u003C/strong>\u003Cbr>Semgrep یک XSS بحرانی در یک controller پیدا می‌کند. DefectDojo آن را ثبت و verify می‌کند، بعد یک issue در Jira می‌سازد. توسعه‌دهنده آن را در sprint بعدی می‌گیرد، رفع می‌کند و وضعیت را به Done می‌برد. DefectDojo نیز بر اساس sync وضعیت را به Mitigated یا Closed نزدیک می‌کند. این چرخه باعث می‌شود history اصلاح آسیب‌پذیری از بین نرود و تیم امنیت در هر لحظه بداند وضعیت واقعی چیست.\u003C/p>\u003Cp>Deduplication و Findings👇\u003C/p>\u003Cfigure class=\"image\">\u003Cimg style=\"aspect-ratio:1336/679;\" src=\"https://api.dornadevops.com/media/articles/posts/Deduplication%20%D9%88%20Findings.png\" width=\"1336\" height=\"679\">\u003C/figure>\u003Chr>\u003Ch3>۶. استقرار DefectDojo روی سرور ابری\u003C/h3>\u003Cp>استقرار DefectDojo در محیط production نیازمند نگاه جدی‌تر از یک نصب ساده آزمایشی است. برای OpenSource edition، Docker Compose معمولاً ساده‌ترین و عملی‌ترین مسیر است، اما خود مستندات تأکید می‌کنند که فایل پیش‌فرض باید متناسب با محیط production شخصی‌سازی شود.\u003C/p>\u003Cp>\u003Cstrong>استقرار productionready\u003C/strong>\u003C/p>\u003Cp>در production، بهتر است دیتابیس جداگانه داشته باشی، چون جدا کردن database server باعث پایداری بیشتر، مقیاس‌پذیری بهتر و performance مناسب‌تر می‌شود. همچنین باید به تنظیمات Nginx، headerهای امنیتی، policyهای ذخیره‌سازی و backupها توجه شود.\u003C/p>\u003Cp>\u003Cstrong>منابع پیشنهادی :\u003C/strong>\u003C/p>\u003Cp>مستندات production برای یک استقرار همراه با دیتابیس جداگانه حداقل‌هایی مانند 2 vCPU، 8GB RAM و 10GB فضای دیسک را پیشنهاد می‌کنند. البته این فقط نقطه شروع است و در محیط‌هایی با importهای سنگین، اسکن‌های مکرر یا تعداد زیاد یافته‌ها، منابع بیشتری لازم خواهد بود.\u003C/p>\u003Cp>\u003Cstrong>رمزنگاری و امنیت\u003C/strong>\u003C/p>\u003Cp>یکی از نکات مهم این است که کلید AES256 پیش‌فرض باید با یک مقدار منحصربه‌فرد جایگزین شود، چون از آن برای رمزنگاری credentialها و API keyهای متصل به ابزارهای خارجی استفاده می‌شود. این نکته بسیار مهم است، چون یک vulnerability management platform خودش نباید به نقطه ضعف امنیتی تبدیل شود.&nbsp;\u003C/p>\u003Cp>\u003Cstrong>پلتفرم‌های پشتیبانی‌شده\u003C/strong>\u003C/p>\u003Cp>طبق مستندات، Debian روی AMD64 به‌عنوان کانفیگ officially supported و tested معرفی شده است. برخی variantهای Alpine بیشتر در سطح community قرار دارند و پوشش تست خودکار کامل ندارند. برای یک محیط سازمانی جدی، این نکته نباید نادیده گرفته شود.\u003C/p>\u003Cp>\u003Cstrong>مثال عملی:\u003C/strong>\u003Cbr>اگر بخواهی DefectDojo را روی یک VM لینوکسی بالا بیاوری، بهترین الگو این است: Docker Compose productionready، دیتابیس جداگانه، volumeهای پایدار برای media و backup منظم برای پایگاه داده. سپس workerها را متناسب با حجم importها تنظیم کنی تا queueها دچار backlog نشوند. این مدل برای یک تیم DevSecOps کوچک تا متوسط کاملاً منطقی و قابل‌اجراست.\u003C/p>\u003Cp>معماری استقرار👇\u003C/p>\u003Cfigure class=\"image\">\u003Cimg style=\"aspect-ratio:721/511;\" src=\"https://api.dornadevops.com/media/articles/posts/%D9%85%D8%B9%D9%85%D8%A7%D8%B1%DB%8C%20%D8%A7%D8%B3%D8%AA%D9%82%D8%B1%D8%A7%D8%B1.png\" width=\"721\" height=\"511\">\u003C/figure>\u003Chr>\u003Ch3>۷. سناریوی عملیاتی پیشرفته\u003C/h3>\u003Cp>\u003Cstrong>برای فهم بهتر قدرت DefectDojo، یک سناریوی واقعی‌تر را تصور کن:\u003C/strong> یک تیم توسعه روی پروژه ASP.NET MVC کار می‌کند. هر commit جدید از طریق CI/CD به Semgrep فرستاده می‌شود تا codelevel issues کشف شوند. هم‌زمان، ZAP هم روی محیط staging اجرا می‌شود تا مشکلات runtime و HTTPlevel بررسی شوند. خروجی هر دو ابزار به DefectDojo ارسال می‌شود.\u003C/p>\u003Cp>در اینجا DefectDojo با autocreate context می‌تواند برای repository موردنظر یک Product و یک Engagement بسازد. سپس هر execution pipeline به‌عنوان Test ثبت می‌شود و با Reimport، نتایج جدید با scan قبلی مقایسه می‌شوند. اگر vulnerability قبلاً وجود داشته باشد، system آن را duplicate یا unchanged در نظر می‌گیرد؛ اگر new issue ظاهر شود، آن را به‌عنوان finding جدید ثبت می‌کند.&nbsp;\u003Cbr>حالا اگر همان finding به Jira هم push شده باشد، تیم توسعه دقیقاً همان جایی کار می‌کند که باید. این یعنی از مرحله کشف تا triage، از triage تا remediation و از remediation تا verification، یک زنجیره قابل‌ردیابی ایجاد شده است. این زنجیره، هسته واقعی DevSecOps است.\u003C/p>\u003Chr>\u003Ch3>۸. گزارش‌گیری، SLA و مدیریت ریسک\u003C/h3>\u003Cp>DefectDojo فقط یک repository برای findingها نیست. این پلتفرم برای reporting، enforcement SLA، مدیریت false positive، risk acceptance، branch/repository tracking و ایجاد source of truth در امنیت نرم‌افزار طراحی شده است. همین موضوع باعث می‌شود سازمان به‌جای واکنش‌های پراکنده، یک view منسجم از posture امنیتی خودش داشته باشد.\u003C/p>\u003Cp>\u003Cstrong>SLA tracking\u003C/strong>\u003C/p>\u003Cp>وقتی یک vulnerability برای مدت طولانی unresolved بماند، DefectDojo می‌تواند به تیم‌ها کمک کند تا از منظر SLA، عمر آسیب‌پذیری و overdue status آن را ارزیابی کنند. این قابلیت برای سازمان‌هایی که compliance، audit یا governance دارند بسیار مهم است.\u003C/p>\u003Cp>\u003Cstrong>Risk acceptance\u003C/strong>\u003C/p>\u003Cp>همه findingها لزوماً بلافاصله قابل‌رفع نیستند. گاهی یک vulnerability باید موقتاً پذیرفته شود، مثلاً به‌دلیل dependency خارجی، محدودیت release یا ملاحظات business. DefectDojo به تیم‌ها اجازه می‌دهد این پذیرش ریسک را ثبت و پیگیری کنند تا تصمیم امنیتی مستند و قابل audit باشد.\u003C/p>\u003Cp>\u003Cstrong>Report Builder و داشبوردهای مدیریتی\u003C/strong>\u003C/p>\u003Cp>در نسخه Pro و حتی در بخش‌های گزارش‌گیری نسخه OpenSource، می‌توان خروجی‌هایی ساخت که برای CISO، مدیر فنی، QA lead و تیم compliance قابل‌فهم باشند. مهم‌ترین ارزش این قسمت این است که داده خام را به indicatorهای مدیریتی تبدیل می‌کند: تعداد Criticalها، trend ماهانه، MTTR، overdue issues و نرخ duplicateها.\u003C/p>\u003Cp>\u003Cstrong>مثال عملی:\u003C/strong>\u003Cbr>اگر در سه ماه گذشته تعداد Criticalها در `Auth Service` بالا مانده اما زمان متوسط رفع (MTTR) تغییر نکرده است، DefectDojo این روند را آشکار می‌کند. از روی این trend می‌توان فهمید مشکل از ضعف triage است، یا کمبود نیروی توسعه، یا عدم هماهنگی بین تیم‌ها. این همان جایی است که امنیت از سطح عملیات به سطح تصمیم‌سازی مدیریتی می‌رسد.\u003C/p>\u003Chr>\u003Ch3>۹. سوالات متداول (FAQ Schema)\u003C/h3>\u003Cp>\u003Cstrong>DefectDojo دقیقاً چه کاری انجام می‌دهد؟\u003C/strong>\u003C/p>\u003Cp>DefectDojo گزارش‌های امنیتی را از ابزارهای مختلف جمع می‌کند، آن‌ها را نرمال‌سازی می‌کند، موارد تکراری را تشخیص می‌دهد و برای triage، remediation، reporting و issue tracking در یک داشبورد متمرکز قرار می‌دهد.\u003C/p>\u003Cp>\u003Cstrong>DefectDojo برای چه تیم‌هایی مناسب است؟\u003C/strong>\u003C/p>\u003Cp>این ابزار برای تیم‌های DevSecOps، AppSec، pentest، compliance و هر سازمانی که چند ابزار امنیتی دارد و می‌خواهد یک source of truth واحد بسازد، بسیار مناسب است.\u003C/p>\u003Cp>\u003Cstrong>Import و Reimport چه تفاوتی دارند؟\u003C/strong>\u003C/p>\u003Cp>Import یک گزارش را برای نخستین‌بار وارد می‌کند، اما Reimport همان Test را با داده‌های جدید به‌روزرسانی می‌کند و برای scanهای تکرارشونده ایده‌آل است.\u003C/p>\u003Cp>\u003Cstrong>آیا DefectDojo با Jira sync می‌شود؟\u003C/strong>\u003C/p>\u003Cp>بله. DefectDojo می‌تواند findingها را به Jira ارسال کند و وضعیت آن‌ها را به‌صورت bidirectional sync مدیریت کند.\u003C/p>\u003Cp>\u003Cstrong>آیا DefectDojo فقط با Jira کار می‌کند؟\u003C/strong>\u003C/p>\u003Cp>خیر. در OpenSource، Jira پشتیبانی می‌شود و در Pro edition گزینه‌های بیشتری مانند Azure DevOps، GitHub، GitLab Boards و ServiceNow نیز وجود دارد.\u003C/p>\u003Cp>\u003Cstrong>آیا نصب آن سخت است؟\u003C/strong>\u003C/p>\u003Cp>برای OpenSource، Docker Compose مسیر ساده‌تری است؛ اما برای production باید تنظیمات را بر اساس نیازهای واقعی محیط سفارشی‌سازی کرد و بهتر است از دیتابیس جداگانه استفاده شود.\u003C/p>\u003Chr>\u003Ch3>\u003Cstrong>نتیجه‌گیری &amp; Call To Action\u003C/strong>\u003C/h3>\u003Cul>\u003Cli data-list-item-id=\"e439687be12c1fa1d4edcc1a07d29aa95\">DefectDojo در عمل یک dashboard معمولی نیست؛ بلکه یک لایه orchestration برای vulnerability management است. قدرت اصلی آن در این است که داده‌های امنیتی پراکنده را به یک جریان قابل‌اقدام تبدیل می‌کند: از ingest اولیه تا deduplication، از triage تا issue tracking، از import/reimport تا trend reporting. به همین دلیل، اگر یک تیم امنیتی با چندین اسکنر، چندین repository و چندین release cycle کار می‌کند، DefectDojo می‌تواند به‌عنوان ستون فقرات عملیات امنیتی عمل کند.\u003C/li>\u003Cli data-list-item-id=\"ea43553ab03acc3c18f70716a0b250b98\">در محیط‌هایی که امنیت هنوز در فایل‌های Excel، PDF و گزارش‌های پراکنده گیر کرده است، DefectDojo می‌تواند همان نقطه‌ای باشد که این پراکندگی را به نظم تبدیل می‌کند. با اتصال به CI/CD، با deduplication هوشمند، با API قابل‌اتوماسیون و با issue tracking واقعی، امنیت از حالت واکنشی خارج می‌شود و به یک فرآیند استاندارد، قابل‌سنجش و قابل‌اعتماد تبدیل می‌گردد.\u003C/li>\u003Cli data-list-item-id=\"ee08762052f3de142c0bf648e61d285ac\">حالا نوبت اقدام است : از یک Product ساده شروع کن، برای pipeline خودت یک Engagement بساز، اولین گزارش Semgrep یا ZAP را Import کن و بعد Reimport را برای scanهای تکراری فعال کن. در مرحله بعد، Jira sync و deduplication tuning را اضافه کن تا DefectDojo واقعاً به ستاد فرماندهی امنیت پروژه‌ات تبدیل شود.\u003C/li>\u003C/ul>\u003Cblockquote>\u003Cp>اگر می‌خواهید یک قدم جلوتر از رقبا باشید، باید امروز اقدام کنید.😁\u003Cbr>زیرساخت خود را بهینه کنید،\u003Cstrong> pipeline \u003C/strong>های خود را امن کنید و \u003Cstrong>DefectDojo \u003C/strong>را به بخشی از DNA تیم خود تبدیل کنید .\u003C/p>\u003C/blockquote>",7,"devsecops","DevSecOps","https://api.dornadevops.com/media/articles/category/images/devsecops.jpeg",{"name":13,"avatar":14,"firstName":15,"lastName":15},"الیاس پوررجب","👤","",17,"https://api.dornadevops.com/media/articles/images/defectdojo-vulnerability-management-devsecops-2026.jpg.png",[9,19,20,21],"security","vulnerability","DAST",[23,25,27,29],{"name":24,"name_en":9},"دوسیلوپس (DevSecOps)",{"name":26,"name_en":19},"امنیت",{"name":28,"name_en":20},"آسیبـپذیری",{"name":30,"name_en":21},"تست امنیت پویا",{"articles":32,"count":34,"next":327,"previous":327},[33,50,61,73,83,92,106,116,127,137,146,159,165,178,188,198,207,216,224,233,245,253,262,270,279,287,298,308,318],{"id":34,"title":35,"slug":36,"excerpt":37,"content":37,"categoryId":38,"categorySlug":39,"categoryTitle":40,"categoryImage":41,"author":42,"publishedAt":45,"readTime":46,"image":47,"tags":48,"tagsFa":49,"views":4},29,"طراحی سیستم‌های Highly Available چیست؟ راهنمای کامل معماری‌های در دسترس‌پذیر","highly-available-system-design-guide-2026","طراحی سیستم‌های Highly Available یعنی ساخت معماری‌هایی که در برابر خرابی‌های روزمره، outage و failover مقاوم باشند. در این مقاله HA را عمیق بررسی می‌کنیم.",5,"devops","دواپس","https://api.dornadevops.com/media/articles/category/images/devops.png",{"name":13,"avatar":14,"firstName":43,"lastName":44},"الیاس","پوررجب","1405-02-26",20,"https://api.dornadevops.com/media/articles/images/highly-available-system-design-2026.jpg.png",[],[],{"id":51,"title":52,"slug":53,"excerpt":54,"content":54,"categoryId":38,"categorySlug":39,"categoryTitle":40,"categoryImage":41,"author":55,"publishedAt":56,"readTime":57,"image":58,"tags":59,"tagsFa":60,"views":4},28,"SRE چیست؟ راهنمای کامل Site Reliability Engineering در سیستم‌های مدرن","sre-site-reliability-engineering-guide-2026","SRE یا Site Reliability Engineering رویکردی مهندسی برای ساخت و نگهداری سیستم‌های قابل‌اعتماد، مقیاس‌پذیر و پایدار است. در این مقاله SRE را کامل بررسی می‌کنیم.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-02-25",18,"https://api.dornadevops.com/media/articles/images/sre-site-reliability-engineering-2026.jpg.png",[],[],{"id":62,"title":63,"slug":64,"excerpt":65,"content":65,"categoryId":66,"categorySlug":19,"categoryTitle":26,"categoryImage":67,"author":68,"publishedAt":56,"readTime":69,"image":70,"tags":71,"tagsFa":72,"views":4},27,"SLA چیست؟ راهنمای کامل Service Level Agreement در خدمات ابری","what-is-sla-cloud-service-level-agreement-2026","SLA یا Service Level Agreement قرارداد سطح خدمت در cloud است که uptime، service credit، scope و مسئولیت‌ها را مشخص می‌کند. در این مقاله SLA را کامل بررسی می‌کنیم.",8,"https://api.dornadevops.com/media/articles/category/images/security.jpeg",{"name":13,"avatar":14,"firstName":43,"lastName":44},15,"https://api.dornadevops.com/media/articles/images/sla-cloud-service-level-agreement-2026.jpg.png",[],[],{"id":74,"title":75,"slug":76,"excerpt":77,"content":77,"categoryId":66,"categorySlug":19,"categoryTitle":26,"categoryImage":67,"author":78,"publishedAt":79,"readTime":46,"image":80,"tags":81,"tagsFa":82,"views":4},26,"Network Firewall چیست؟ معرفی کامل فایروال شبکه و بهترین فایروال‌های جهان در ۲۰۲۶","what-is-network-firewall-best-firewalls-2026","Network Firewall لایه‌ای کلیدی برای کنترل ترافیک بین شبکه‌های قابل‌اعتماد و غیرقابل‌اعتماد است. در این مقاله، فایروال شبکه را عمیق بررسی می‌کنیم و بهترین گزینه‌های جهان را معرفی می‌کنیم.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-02-24","https://api.dornadevops.com/media/articles/images/network-firewall-best-firewalls-2026.jpg.png",[],[],{"id":84,"title":85,"slug":86,"excerpt":87,"content":87,"categoryId":66,"categorySlug":19,"categoryTitle":26,"categoryImage":67,"author":88,"publishedAt":79,"readTime":16,"image":89,"tags":90,"tagsFa":91,"views":4},25,"WAF چیست؟ معرفی کامل Web Application Firewall و بهترین WAFهای جهان","what-is-waf-best-waf-2026","WAF یا Web Application Firewall لایه‌ای امنیتی برای محافظت از وب‌اپلیکیشن‌ها در برابر حملات HTTP و HTTPS است. در این مقاله، WAF را کامل بررسی می‌کنیم و بهترین WAFهای جهان را معرفی می‌کنیم.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"https://api.dornadevops.com/media/articles/images/what-is-waf-web-application-firewall-best-waf-2026.jpg.png",[],[],{"id":93,"title":94,"slug":95,"excerpt":96,"content":96,"categoryId":97,"categorySlug":98,"categoryTitle":99,"categoryImage":100,"author":101,"publishedAt":79,"readTime":102,"image":103,"tags":104,"tagsFa":105,"views":4},24,"گارد قرمز چیست؟ راهکار حرفه‌ای برای انسداد درخواست‌های خارجی وردپرس و افزایش سرعت پیشخوان","red-guard-wordpress-external-requests","افزونه گارد قرمز برای انسداد درخواست‌های خارجی وردپرس و افزایش سرعت پیشخوان سایت",9,"wordpress","وردپرس","https://api.dornadevops.com/media/articles/category/images/wordpress.jpeg",{"name":13,"avatar":14,"firstName":43,"lastName":44},12,"https://api.dornadevops.com/media/articles/images/red-guard-wordpress-external-requests-2026.jpg.png",[],[],{"id":107,"title":108,"slug":109,"excerpt":110,"content":110,"categoryId":38,"categorySlug":39,"categoryTitle":40,"categoryImage":41,"author":111,"publishedAt":79,"readTime":112,"image":113,"tags":114,"tagsFa":115,"views":4},23,"GitLab چیست؟ ستون فقرات DevOps و CI/CD مدرن برای تیم‌های ایرانی","gitlab-devops-ci-cd-platform-iran","GitLab یک پلتفرم کامل DevOps برای مدیریت repository، CI/CD، Container Registry و Platform Engineering است که با زیرساخت داخلی، سرعت و پایداری بیشتری برای تیم‌های ایرانی فراهم می‌کند.",{"name":13,"avatar":14,"firstName":43,"lastName":44},14,"https://api.dornadevops.com/media/articles/images/gitlab-devops-platform-cloudnative-ci-cd-iran.jpg.png",[],[],{"id":117,"title":118,"slug":119,"excerpt":120,"content":120,"categoryId":38,"categorySlug":39,"categoryTitle":40,"categoryImage":41,"author":121,"publishedAt":122,"readTime":123,"image":124,"tags":125,"tagsFa":126,"views":4},22,"آینده DevOps در عصر هوش مصنوعی ۲۰۲۶","future-of-devops-ai-agentic-2026","آینده DevOps به سمت AI-Native Delivery، agentic workflows، observability هوشمند و عملیات نیمه‌خودمختار مبتنی بر AI و Platform Engineering حرکت می‌کند.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-02-22",16,"https://api.dornadevops.com/media/articles/images/future-devops-ai-agentic-cloud-native-2026.jpg.png",[],[],{"id":128,"title":129,"slug":130,"excerpt":131,"content":131,"categoryId":66,"categorySlug":19,"categoryTitle":26,"categoryImage":67,"author":132,"publishedAt":133,"readTime":57,"image":134,"tags":135,"tagsFa":136,"views":4},21,"OS Hardening چیست؟ راهنمای جامع امن‌سازی سیستم‌عامل در ۲۰۲۶","os-hardening-guide-2026","OS Hardening مجموعه‌ای از تکنیک‌های چندلایه برای کاهش سطح حمله، محدودسازی دسترسی‌ها و مقاوم‌سازی سیستم‌عامل در برابر نفوذ است.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-02-18","https://api.dornadevops.com/media/articles/images/os-hardening-linux-security-cloud-native-2026.jpg.png",[],[],{"id":46,"title":138,"slug":139,"excerpt":140,"content":140,"categoryId":38,"categorySlug":39,"categoryTitle":40,"categoryImage":41,"author":141,"publishedAt":142,"readTime":117,"image":143,"tags":144,"tagsFa":145,"views":4},"Prometheus و Grafana چیست؟ راهنمای کامل Observability در Cloud-Native","prometheus-grafana-observability-cloud-native","Prometheus و Grafana ستون‌های اصلی Observability هستند که متریک‌ها را جمع می‌کنند، تحلیل می‌کنند و به داشبوردهای عملیاتی و هشدارهای قابل‌اقدام تبدیل می‌کنند.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-02-16","https://api.dornadevops.com/media/articles/images/prometheus-grafana-observability-cloud-native-2026.jpg.png",[],[],{"id":147,"title":148,"slug":149,"excerpt":150,"content":150,"categoryId":151,"categorySlug":152,"categoryTitle":153,"categoryImage":154,"author":155,"publishedAt":142,"readTime":46,"image":156,"tags":157,"tagsFa":158,"views":4},19,"cPanel چیست؟ راهنمای کامل مدیریت سرور و هاست","cpanel-server-hosting-management-guide","cPanel همه‌چیز مدیریت هاست و سرور لینوکسی را در یک داشبورد ساده و قدرتمند جمع می‌کند؛ از سایت و ایمیل تا امنیت و اتوماسیون.",6,"cpanel","سیپنل","https://api.dornadevops.com/media/articles/category/images/cpanel.png",{"name":13,"avatar":14,"firstName":43,"lastName":44},"https://api.dornadevops.com/media/articles/images/cpanel-hosting-control-panel-dashboard-2026_vzAoNcZ.jpg.png",[],[],{"id":57,"title":5,"slug":160,"excerpt":6,"content":6,"categoryId":8,"categorySlug":9,"categoryTitle":10,"categoryImage":11,"author":161,"publishedAt":162,"readTime":16,"image":17,"tags":163,"tagsFa":164,"views":4},"defectdojo-vulnerability-management-devsecops",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-02-13",[],[],{"id":16,"title":166,"slug":167,"excerpt":168,"content":168,"categoryId":66,"categorySlug":19,"categoryTitle":26,"categoryImage":67,"author":169,"publishedAt":173,"readTime":174,"image":175,"tags":176,"tagsFa":177,"views":4},"آسیب‌پذیری بسیار مهم در cPanel – هشدار امنیتی درباره CVE‑2026‑41940","cpanel-cve-2026-41940-security-alert","با انتشار آسیب‌پذیری CVE‑2026‑41940 برای cPanel، سرورهایی که هنوز روی نسخه‌های قدیمی‌تر از آخرین نسخه امن هستند در معرض تهدید جدی قرار گرفته‌اند. این آسیب‌پذیری می‌تواند امنیت کامل سرویس را به خطر بیندازد.",{"name":170,"avatar":14,"firstName":171,"lastName":172},"درنا ادمین","درنا","ادمین","1405-02-12",1,"https://api.dornadevops.com/media/articles/images/cpanel-vuln.png",[],[],{"id":123,"title":179,"slug":180,"excerpt":181,"content":181,"categoryId":8,"categorySlug":9,"categoryTitle":10,"categoryImage":11,"author":182,"publishedAt":183,"readTime":184,"image":185,"tags":186,"tagsFa":187,"views":4},"GitLeaks چیست؟ ابزار شناسایی Secrets در Git","what-is-gitleaks-sast-secret-detection","GitLeaks ابزار متن‌باز برای شناسایی رمزها و API Keyهای لو رفته در Git است که قبل از انتشار، جلوی نشت اطلاعات حساس را می‌گیرد.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-02-09",11,"https://api.dornadevops.com/media/articles/images/gitleaks-git-secrets-scanner-security.jpg.png",[],[],{"id":69,"title":189,"slug":190,"excerpt":191,"content":191,"categoryId":8,"categorySlug":9,"categoryTitle":10,"categoryImage":11,"author":192,"publishedAt":193,"readTime":194,"image":195,"tags":196,"tagsFa":197,"views":4},"Semgrep چیست؟ ابزار سریع SAST برای امنیت کد و DevSecOps","semgrep-sast-devsecops","ابزار Semgrep با اسکن سریع کد، باگ‌ها، آسیب‌پذیری‌ها و secrets را قبل از اجرا پیدا می‌کند و امنیت را وارد جریان توسعه می‌کند.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-02-07",10,"https://api.dornadevops.com/media/articles/images/semgrep-sast-code-security-devsecops.jpg.png",[],[],{"id":112,"title":199,"slug":200,"excerpt":201,"content":201,"categoryId":8,"categorySlug":9,"categoryTitle":10,"categoryImage":11,"author":202,"publishedAt":203,"readTime":46,"image":204,"tags":205,"tagsFa":206,"views":4},"DevSecOps در ۲۰۲۶؛ تزریق امنیت به CI/CD و کلود","devsecops-2026-security-in-ci-cd-cloud","چطور امنیت را از ابتدا وارد CI/CD و زیرساخت ابری کنیم بدون اینکه سرعت توسعه قربانی شود؟",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-02-02","https://api.dornadevops.com/media/articles/images/devsecops-security-ci-cd-cloud-2026_hnouteW.png",[],[],{"id":208,"title":209,"slug":210,"excerpt":211,"content":211,"categoryId":38,"categorySlug":39,"categoryTitle":40,"categoryImage":41,"author":212,"publishedAt":203,"readTime":57,"image":213,"tags":214,"tagsFa":215,"views":4},13,"CI/CD در ۲۰۲۶؛ از صفر تا دیپلوی بدون قطعی","ci-cd-2026-zero-downtime-deployment","از پایه تا حرفه‌ای یاد بگیرید چطور بدون قطعی روی سرور ابری دیپلوی کنید.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"https://api.dornadevops.com/media/articles/images/ci-cd-zero-downtime-cloud-deployment.png",[],[],{"id":102,"title":217,"slug":218,"excerpt":219,"content":219,"categoryId":38,"categorySlug":39,"categoryTitle":40,"categoryImage":41,"author":220,"publishedAt":203,"readTime":123,"image":221,"tags":222,"tagsFa":223,"views":4},"ابزارهای DevOps در ۲۰۲۶؛ معرفی کامل و کاربردی","devops-tools-2026-complete-guide","بهترین ابزارهای DevOps را بشناسید و بفهمید هرکدام دقیقاً کجا استفاده می‌شوند.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"https://api.dornadevops.com/media/articles/images/devops-tools-list-2026-cloud.png",[],[],{"id":184,"title":225,"slug":226,"excerpt":227,"content":227,"categoryId":38,"categorySlug":39,"categoryTitle":40,"categoryImage":41,"author":228,"publishedAt":229,"readTime":57,"image":230,"tags":231,"tagsFa":232,"views":4},"DevOps چیست؟ راهنمای کامل از صفر تا حرفه‌ای (۲۰۲۶)","what-is-devops-complete-guide-2026","از تعریف تا ابزارها و مسیر یادگیری DevOps را یک‌جا و حرفه‌ای یاد بگیرید.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-02-01","https://api.dornadevops.com/media/articles/images/what-is-devops-cloud-architecture-2026.png",[],[],{"id":194,"title":234,"slug":235,"excerpt":236,"content":236,"categoryId":237,"categorySlug":238,"categoryTitle":239,"categoryImage":240,"author":241,"publishedAt":229,"readTime":194,"image":242,"tags":243,"tagsFa":244,"views":4},"تغییر دامنه در DirectAdmin؛ سریع و بدون دردسر","change-domain-directadmin-guide","دامنه سایت را در DirectAdmin بدون خطا و از دست رفتن اطلاعات تغییر دهید.",4,"directadmin","دایرکت ادمین","https://api.dornadevops.com/media/articles/category/images/directadmin.jpg",{"name":13,"avatar":14,"firstName":43,"lastName":44},"https://api.dornadevops.com/media/articles/images/directadmin-change-domain-tutorial.jpg",[],[],{"id":97,"title":246,"slug":247,"excerpt":248,"content":248,"categoryId":237,"categorySlug":238,"categoryTitle":239,"categoryImage":240,"author":249,"publishedAt":229,"readTime":194,"image":250,"tags":251,"tagsFa":252,"views":4},"نصب SSL رایگان در DirectAdmin؛ امن‌سازی فوری سایت","install-free-ssl-directadmin","در چند دقیقه SSL رایگان نصب کنید و امنیت سایت را تضمین کنید.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"https://api.dornadevops.com/media/articles/images/directadmin-free-ssl-install.jpg",[],[],{"id":66,"title":254,"slug":255,"excerpt":256,"content":256,"categoryId":237,"categorySlug":238,"categoryTitle":239,"categoryImage":240,"author":257,"publishedAt":258,"readTime":184,"image":259,"tags":260,"tagsFa":261,"views":4},"ساخت DNS اختصاصی برای دامنه؛ راهنمای کامل","create-custom-dns-domain-guide","یاد بگیرید DNS اختصاصی بسازید و کنترل کامل دامنه را در دست بگیرید.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-01-31","https://api.dornadevops.com/media/articles/images/custom-dns-setup-domain.jpg",[],[],{"id":8,"title":263,"slug":264,"excerpt":265,"content":265,"categoryId":237,"categorySlug":238,"categoryTitle":239,"categoryImage":240,"author":266,"publishedAt":258,"readTime":123,"image":267,"tags":268,"tagsFa":269,"views":4},"آموزش کامل و قدم‌ به‌ قدم بازگردانی بکاپ در دایرکت ادمین","restore-backup-directadmin-guide","چطور در کمترین زمان سایت را از بکاپ برگردانیم؟",{"name":13,"avatar":14,"firstName":43,"lastName":44},"https://api.dornadevops.com/media/articles/images/directadmin-backup-restore.jpg",[],[],{"id":151,"title":271,"slug":272,"excerpt":273,"content":273,"categoryId":237,"categorySlug":238,"categoryTitle":239,"categoryImage":240,"author":274,"publishedAt":275,"readTime":102,"image":276,"tags":277,"tagsFa":278,"views":4},"تغییر دامنه در وردپرس؛ قدم‌به‌قدم و بدون خطا","change-domain-wordpress-step-by-step","تغییر نام، بدون تغییر سرنوشت ، دامنه وردپرس را بدون خراب شدن سایت تغییر دهید.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-01-30","https://api.dornadevops.com/media/articles/images/wordpress-domain-change-guide.jpg",[],[],{"id":38,"title":280,"slug":281,"excerpt":282,"content":282,"categoryId":237,"categorySlug":238,"categoryTitle":239,"categoryImage":240,"author":283,"publishedAt":275,"readTime":102,"image":284,"tags":285,"tagsFa":286,"views":4},"بکاپ‌گیری حرفه‌ای در DirectAdmin (Admin Level)","directadmin-admin-backup-guide","چطور از کل سرور بکاپ بگیریم و در بحران نجاتش دهیم؟",{"name":13,"avatar":14,"firstName":43,"lastName":44},"https://api.dornadevops.com/media/articles/images/directadmin-admin-level-backup.jpg",[],[],{"id":237,"title":288,"slug":289,"excerpt":290,"content":290,"categoryId":174,"categorySlug":291,"categoryTitle":292,"categoryImage":293,"author":294,"publishedAt":275,"readTime":208,"image":295,"tags":296,"tagsFa":297,"views":4},"Portainer چیست؟ مدیریت حرفه‌ای Docker و Kubernetes","what-is-portainer-docker-management","Docker و Kubernetes را بدون دردسر و گرافیکی مدیریت کنید.","docker","داکر","https://api.dornadevops.com/media/articles/category/images/Screenshot_from_2026-03-06_15-05-14.png",{"name":13,"avatar":14,"firstName":43,"lastName":44},"https://api.dornadevops.com/media/articles/images/portainer-docker-kubernetes-ui.png",[],[],{"id":299,"title":300,"slug":301,"excerpt":302,"content":302,"categoryId":174,"categorySlug":291,"categoryTitle":292,"categoryImage":293,"author":303,"publishedAt":304,"readTime":194,"image":305,"tags":306,"tagsFa":307,"views":4},3,"۷ اشتباه مرگبار در Docker که باید همین امروز اصلاح کنید","docker-mistakes-developers","اشتباهاتی که پروژه‌ات را نابود می‌کنند و چطور ازشان جلوگیری کنی.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1405-01-29","https://api.dornadevops.com/media/articles/images/docker-common-mistakes.png",[],[],{"id":309,"title":310,"slug":311,"excerpt":312,"content":312,"categoryId":237,"categorySlug":238,"categoryTitle":239,"categoryImage":240,"author":313,"publishedAt":314,"readTime":194,"image":315,"tags":316,"tagsFa":317,"views":4},2,"بکاپ‌گیری در DirectAdmin؛ آموزش کامل و ساده(بیمه عمر سایت شما!)","directadmin-backup-complete-guide","با چند کلیک از سایتت بکاپ بگیر و خیالت را راحت کن.",{"name":13,"avatar":14,"firstName":43,"lastName":44},"1404-12-15","https://api.dornadevops.com/media/articles/images/directadmin-backup-guide.jpg",[],[],{"id":174,"title":319,"slug":320,"excerpt":321,"content":321,"categoryId":174,"categorySlug":291,"categoryTitle":292,"categoryImage":293,"author":322,"publishedAt":323,"readTime":174,"image":324,"tags":325,"tagsFa":326,"views":4},"نصب Docker بدون تحریم","install-docker-in-iran","نصب آفلاین Docker مخصوص سرورهای داخل ایران",{"name":170,"avatar":14,"firstName":171,"lastName":172},"1404-11-30","https://api.dornadevops.com/media/articles/images/install-docker-iran.png",[],[],null,[329,339,347,356,364,372,380,388,396],{"id":194,"name":330,"name_en":331,"image":332,"description":333,"slug":331,"headline":334,"tagline":335,"hidden":336,"group_type":337,"sort_order":338,"services":-1},"پشتیبانی و خدمات دواپس","devops-support","https://api.dornadevops.com/media/service_group_images/devops.png","\u003Cp>خدمات پشتیبانی ماهانه DevOps برای راه‌اندازی، نگهداری و عیب‌یابی زیرساخت‌های استقرار و مانیتورینگ ارائه می‌شود. این سرویس شامل پیاده‌سازی CI/CD، داکرایز کردن پروژه‌ها، راه‌اندازی مانیتورینگ، مدیریت لاگ و بهینه‌سازی فرایندهای استقرار است. هر پلن شامل تعداد ساعت مشخصی پشتیبانی است و در صورت مصرف بیشتر، ساعات مازاد به‌صورت جداگانه محاسبه خواهد شد.\u003C/p>","پشتیبانی و خدمات DevOps","راه‌اندازی، نگهداری و بهینه‌سازی زیرساخت DevOps برای استقرار سریع‌تر و پایدارتر",false,"F",91,{"id":174,"name":340,"name_en":341,"image":342,"description":343,"slug":341,"headline":344,"tagline":345,"hidden":336,"group_type":337,"sort_order":346,"services":-1},"پشتیبانی و مدیریت سرور لینوکسی","support","https://api.dornadevops.com/media/service_group_images/support.png","\u003Cp>خدمات پشتیبانی ماهانه برای مدیریت، عیب‌یابی و نگهداری سرورهای لینوکسی ارائه می‌شود. هر پلن شامل تعداد ساعت مشخصی پشتیبانی است و در صورت مصرف بیشتر، ساعات مازاد به‌صورت جداگانه محاسبه خواهد شد.\u003C/p>","پشتیبانی تخصصی سرور، متناسب با نیاز کسب‌وکار شما","از رفع خطاهای زیرساختی تا مدیریت روزمره سرور، با پلن‌های ماهانه و شفاف",90,{"id":309,"name":348,"name_en":349,"image":350,"description":351,"slug":349,"headline":352,"tagline":353,"hidden":336,"group_type":354,"sort_order":355,"services":-1},"لایسنس نرم‌افزارهای مدیریت سرور","license","https://api.dornadevops.com/media/service_group_images/license.png","\u003Cp>در این بخش می‌توانید لایسنس‌های موردنیاز برای مدیریت، امنیت، مجازی‌سازی و بهینه‌سازی سرور را به‌صورت ماهانه تهیه یا تمدید کنید. تمامی لایسنس‌ها با هدف افزایش کارایی، امنیت و سهولت مدیریت سرور ارائه می‌شوند.\u003C/p>","لایسنس‌های ضروری برای مدیریت حرفه‌ای سرور","از کنترل‌پنل و وب‌سرور تا امنیت و مجازی‌سازی، همه‌چیز برای یک زیرساخت کامل","S",80,{"id":38,"name":357,"name_en":358,"image":359,"description":360,"slug":358,"headline":361,"tagline":362,"hidden":336,"group_type":337,"sort_order":363,"services":-1},"سرور مجازی ایران با منابع اختصاصی","iran-vm","https://api.dornadevops.com/media/service_group_images/servers.png","\u003Cp>سرور مجازی ایران برای کسب‌وکارهایی مناسب است که به منابع اختصاصی‌تر، کنترل بیشتر و عملکرد پایدارتر نسبت به هاست اشتراکی نیاز دارند. این سرویس با پلن‌های متنوع و IP اختصاصی ارائه می‌شود.\u003C/p>","قدرت بیشتر، کنترل کامل‌تر، میزبانی در ایران","از پروژه‌های در حال رشد تا سرویس‌های حرفه‌ای، با منابع اختصاصی و دسترسی پایدار",70,{"id":237,"name":365,"name_en":366,"image":367,"description":368,"slug":366,"headline":369,"tagline":370,"hidden":336,"group_type":337,"sort_order":371,"services":-1},"هاست لینوکس ایران برای میزبانی سایت","linux-host","https://api.dornadevops.com/media/service_group_images/hosts.png","\u003Cp>هاست لینوکس ایران برای میزبانی سایت‌های شرکتی، فروشگاهی و شخصی با منابع متنوع، پهنای باند نامحدود و امکان استفاده از کنترل‌پنل‌های محبوب ارائه می‌شود. این سرویس برای راه‌اندازی سریع و پایدار وب‌سایت در داخل ایران مناسب است.\u003C/p>","میزبانی لینوکسی سریع و پایدار در ایران","انتخابی مناسب برای سایت‌های ایرانی با دسترسی بهتر، منابع متنوع و مدیریت آسان",63,{"id":66,"name":373,"name_en":374,"image":375,"description":376,"slug":374,"headline":377,"tagline":378,"hidden":336,"group_type":337,"sort_order":379,"services":-1},"هاست ایمیل حرفه‌ای","email","https://api.dornadevops.com/media/service_group_images/email.png","\u003Cp>سرویس ایمیل برای راه‌اندازی و مدیریت ایمیل سازمانی با تنظیمات بهینه و کاهش ریسک اسپم‌شدن ارائه می‌شود. این سرویس دارای پنل تحت وب، امکان ساخت حساب‌های متعدد و بکاپ هفتگی است.\u003C/p>","ایمیل سازمانی پایدار و حرفه‌ای برای کسب‌وکار شما","ارسال و دریافت مطمئن ایمیل با تنظیمات بهینه، پنل تحت وب و پشتیبانی مداوم",62,{"id":97,"name":381,"name_en":382,"image":383,"description":384,"slug":382,"headline":385,"tagline":386,"hidden":336,"group_type":337,"sort_order":387,"services":-1},"هاست لینوکس خارج با کیفیت بین‌المللی","linux-host-eu","https://api.dornadevops.com/media/service_group_images/hosts_6NC0r8y.png","\u003Cp>هاست لینوکس خارج برای سایت‌هایی مناسب است که به میزبانی با کیفیت بالا در خارج از کشور نیاز دارند. این سرویس با فضای مناسب، پهنای باند نامحدود، SSL و امکان استفاده از کنترل‌پنل‌های محبوب ارائه می‌شود.\u003C/p>","میزبانی لینوکسی خارج، مناسب پروژه‌های حرفه‌ای‌تر","کیفیت بالا، منابع مناسب و انتخابی مطمئن برای وب‌سایت‌های بین‌المللی یا خاص",61,{"id":299,"name":389,"name_en":390,"image":391,"description":392,"slug":390,"headline":393,"tagline":394,"hidden":336,"group_type":337,"sort_order":395,"services":-1},"فضای بکاپ و نگهداری نسخه پشتیبان","backup","https://api.dornadevops.com/media/service_group_images/backups.png","\u003Cp>هاست بکاپ مناسب ذخیره‌سازی امن فایل‌های پشتیبان سایت و سرور است و با فضای متنوع، ترافیک نامحدود و دسترسی FTP/SFTP ارائه می‌شود. این سرویس برای نگهداری نسخه‌های پشتیبان منظم و دسترسی سریع طراحی شده است\u003C/p>","فضایی مطمئن برای نگهداری بکاپ‌های مهم شما","ذخیره‌سازی سریع، ترافیک نامحدود و دسترسی امن برای مدیریت بهتر نسخه‌های پشتیبان",50,{"id":8,"name":397,"name_en":398,"image":399,"description":400,"slug":398,"headline":401,"tagline":402,"hidden":336,"group_type":337,"sort_order":4,"services":-1},"خدمات مانیتورینگ","monitoring","https://api.dornadevops.com/media/service_group_images/monitoring.png","\u003Cp>این سرویس برای پایش وضعیت دسترس‌پذیری و سلامت سرویس‌ها طراحی شده و با گزارش‌گیری، عیب‌یابی و اطلاع‌رسانی از طریق ایمیل و تلگرام، به شما در شناسایی سریع اختلال‌ها کمک می‌کند.\u003C/p>","همیشه از وضعیت سرویس‌های خود باخبر باشید","پایش لحظه‌ای آپتایم، گزارش دقیق و اطلاع‌رسانی سریع در زمان بروز اختلال",1779615404741]