تم تصميم اختبار مايكروسوفت التدريبي GH-500 بعناية فائقة للمحترفين ذوي الخبرة المتخصصين في تطوير البرمجيات وممارسات الأمان المتقدمة. يستهدف هذا التقييم الشامل الأفراد الذين يمتلكون فهماً عميقاً لميزات الأمان القوية التي يوفرها GitHub، إلى جانب الخبرة العملية الواسعة في تحصين وتأمين مسارات عمل تطوير البرمجيات ضد الثغرات الأمنية الحديثة. من خلال إجراء هذا الاختبار، يمكن للمرشحين تقييم مدى جاهزيتهم بشكل دقيق للتعامل مع التحديات الأمنية المعقدة والواقعية داخل بيئة GitHub.
ملاحظة: هذا مجرد اختبار تدريبي للتحضير لامتحان الحصول على الشهادة الاحترافية ولا يوجد له شهادة من المركز.
| الأسئلة | 100 |
|---|---|
| تاريخ الإصدار | 10/2025 (آخر تحديث: 10/2025) |
| الدور الوظيفي | مطور برمجيات |
| اللغة | الإنجليزية |
لماذا ينبغي عليّ استخدام اختبار GH-500 التدريبي للتحضير للامتحان الرسمي؟
يُعد اختبار GH-500 التدريبي أداة أساسية للتحقق من خبرتك في دمج ميزات الأمان المتقدمة من GitHub ومسارات العمل المدعومة بالذكاء الاصطناعي في بيئات هندسة البرمجيات المعقدة. يساعدك استخدام هذا الاختبار في التقييم الدقيق لقدرتك على تصميم قواعد برمجية آمنة وواسعة النطاق، وتطبيق سياسات حوكمة قوية، وتنفيذ ضوابط امتثال متقدمة. من خلال التدرب باستخدام وضعي الشهادة والممارسة، يمكنك تحديد نقاط ضعفك بدقة، وتحسين جهودك الدراسية، والاستعداد بثقة تامة لإتقان الإمكانات الكاملة لـ Copilot. يعتبر هذا الاختبار المعيار الأمثل لضمان جاهزيتك الكاملة للحصول على الشهادة الرسمية بمستوى خبير.
يحتوي اختبار GH-500 التدريبي على 100 سؤال ويغطي الأهداف التالية:
المجال الأول: وصف ميزات ووظائف الأمان في GHAS – 15 سؤالاً
مقارنة ميزات GHAS ودورها في النظام البيئي للأمان
- التمييز بين ميزات الأمان التي تتوفر تلقائياً للمشاريع مفتوحة المصدر، والميزات المتاحة عند اقتران GHAS مع GHEC أو GHES
- وصف ميزات وفوائد النظرة العامة على الأمان (Security Overview)
- وصف الفروق بين فحص الأسرار (secret scanning) وفحص الكود (code scanning)
- وصف كيف يساهم فحص الأسرار، وفحص الكود، و Dependabot في إنشاء دورة حياة تطوير برمجيات أكثر أماناً
- مقارنة سيناريو أمان يتضمن مراجعة أمنية معزولة مع سيناريو متقدم يتم فيه دمج الأمان في كل خطوة من دورة حياة تطوير البرمجيات
شرح واستخدام ميزات GHAS المحددة
- وصف كيفية تحديد التبعيات الضعيفة (عن طريق فحص ملفات البيان ومقارنتها بقواعد بيانات الثغرات المعروفة)
- اختيار كيفية التعامل مع التنبيهات الواردة من GHAS
- شرح عواقب تجاهل التنبيه
- شرح دور المطور عند اكتشافه لتنبيه أمني
- وصف الفروق في إدارة الوصول لعرض التنبيهات الخاصة بميزات الأمان المختلفة
- تحديد متى وأين تُستخدم تنبيهات Dependabot في دورة حياة تطوير البرمجيات
المجال الثاني: تكوين واستخدام فحص الأسرار (secret scanning) – 15 سؤالاً
تكوين واستخدام فحص الأسرار
- وصف فحص الأسرار (secret scanning)
- وصف حماية الدفع (push protection)
- وصف فحوصات الصلاحية (validity checks)
- مقارنة توفر فحص الأسرار للمستودعات العامة والخاصة
- تمكين فحص الأسرار للمستودعات الخاصة
- اختيار الاستجابة المناسبة لتنبيه فحص الأسرار
- تحديد ما إذا كان يتم إنشاء تنبيه لسر معين أو نمط أو مزود خدمة
- تحديد ما إذا كان دور مستخدم معين سيرى تنبيهات فحص الأسرار وكيف سيتم إشعاره
تخصيص السلوك الافتراضي لفحص الأسرار
- تكوين مستلمي تنبيه فحص الأسرار (يتضمن أيضاً كيفية توفير الوصول للأعضاء والفرق غير المسؤولين)
- استبعاد ملفات معينة من فحص الأسرار
- تمكين فحص الأسرار المخصص للمستودع
المجال الثالث: تكوين واستخدام Dependabot ومراجعة التبعيات (Dependency Review) – 35 سؤالاً
وصف أدوات إدارة الثغرات في التبعيات
- تعريف الرسم البياني للتبعيات (dependency graph)
- وصف كيفية إنشاء الرسم البياني للتبعيات
- وصف ماهية قائمة مكونات البرمجيات (SBOM) وتنسيق SBOM المستخدم في GitHub
- تعريف ثغرة التبعية (dependency vulnerability)
- وصف تنبيهات Dependabot
- وصف تحديثات أمان Dependabot
- وصف مراجعة التبعيات (Dependency Review)
- وصف كيفية إنشاء التنبيهات للتبعيات الضعيفة (مستمدة من الرسم البياني للتبعيات ومصدرها قاعدة بيانات استشارات GitHub)
- وصف الفرق بين Dependabot ومراجعة التبعيات
تمكين وتكوين أدوات إدارة التبعيات الضعيفة
- تحديد الإعدادات الافتراضية لتنبيهات Dependabot في المستودعات العامة والخاصة
- تحديد الأذونات والأدوار المطلوبة لتمكين تنبيهات Dependabot
- تحديد الأذونات والأدوار المطلوبة لعرض تنبيهات Dependabot
- تمكين تنبيهات Dependabot للمستودعات الخاصة
- تمكين تنبيهات Dependabot للمنظمات
- إنشاء ملف تكوين Dependabot صالح لتجميع التحديثات الأمنية
- إنشاء قاعدة Dependabot لتجاهل التنبيهات ذات الخطورة المنخفضة تلقائياً حتى يتوفر تصحيح (patch)
- إنشاء سير عمل مراجعة التبعيات (Dependency Review) باستخدام GitHub Actions
- تكوين فحوصات التراخيص وحدود الخطورة المخصصة في سير عمل مراجعة التبعيات
- تكوين الإشعارات للتبعيات الضعيفة
تحديد التبعيات الضعيفة ومعالجتها
- تحديد تبعية ضعيفة من خلال تنبيه Dependabot
- تحديد التبعيات الضعيفة من طلب السحب (pull request)
- تمكين تحديثات أمان Dependabot
- معالجة ثغرة من تنبيه Dependabot في علامة تبويب الأمان (قد يشمل ذلك تحديث التبعية أو إزالتها)
- معالجة ثغرة من تنبيه Dependabot في سياق طلب السحب (قد يشمل ذلك تحديث التبعية أو إزالتها)
- اتخاذ إجراء بشأن أي تنبيهات Dependabot عن طريق اختبار ودمج طلبات السحب
المجال الرابع: تكوين واستخدام فحص الكود (Code Scanning) مع CodeQL – 25 سؤالاً
استخدام فحص الكود مع أدوات الطرف الثالث
- تمكين فحص الكود للاستخدام مع أدوات التحليل التابعة لجهات خارجية
- مقارنة خطوات استخدام CodeQL مقابل تحليل الجهات الخارجية عند تمكين فحص الكود
- مقارنة كيفية تنفيذ تحليل CodeQL في سير عمل GitHub Actions مقابل أداة تكامل مستمر (CI) تابعة لجهة خارجية
- رفع نتائج SARIF التابعة لجهة خارجية عبر نقطة نهاية SARIF
وصف وتمكين فحص الكود
- وصف كيفية دمج فحص الكود في دورة حياة تطوير البرمجيات
- مقارنة تكرار مسارات عمل فحص الكود (المجدولة مقابل التي يتم تشغيلها بناءً على أحداث)
- اختيار حدث تشغيل لنمط تطوير معين (على سبيل المثال، عند إنشاء طلب سحب أو لملفات محددة)
- تعديل القالب الافتراضي لسير عمل Actions ليناسب مستودع إنتاج نشط ومفتوح المصدر
- وصف كيفية عرض نتائج فحص الكود الناتجة عن تحليل CodeQL
- استكشاف الأخطاء وإصلاحها في سير عمل فحص كود فاشل باستخدام CodeQL، بما في ذلك إنشاء أو تغيير تكوين مخصص في سير عمل CodeQL
- تتبع تدفق البيانات عبر الكود باستخدام تجربة عرض المسارات (show paths)
- شرح سبب تنبيه فحص الكود بناءً على الوثائق المرتبطة بالتنبيه
- تحديد ما إذا كان يجب تجاهل تنبيه فحص الكود والسبب وراء ذلك
- وصف أوجه القصور المحتملة في CodeQL عبر نموذج التجميع ودعم اللغات
- شرح الغرض من تحديد فئة SARIF
المجال الخامس: وصف أفضل ممارسات GitHub Advanced Security، والنتائج، وكيفية اتخاذ الإجراءات التصحيحية – 10 أسئلة
نتائج وأفضل ممارسات GitHub Advanced Security
- استخدام الثغرات والتعرضات الشائعة (CVE) وتعداد الضعف الشائع (CWE) لوصف تنبيه أمني في GitHub Advanced Security وسرد العلاجات المحتملة
- وصف عملية اتخاذ القرار لإغلاق وتجاهل التنبيهات الأمنية (توثيق التجاهل، اتخاذ قرار بناءً على البيانات)
- وصف مجموعات استعلام CodeQL الافتراضية
- وصف كيفية قيام CodeQL بتحليل الكود وإصدار النتائج، بما في ذلك الفروق بين اللغات المترجمة (compiled) والمفسرة (interpreted)
- تحديد أدوار ومسؤوليات فرق التطوير والأمان في مسار عمل تطوير البرمجيات
- وصف كيفية تغيير حد الخطورة لفحوصات حالة طلب سحب فحص الكود
- شرح كيفية استخدام الفلاتر والفرز لتحديد أولويات معالجة فحص الأسرار (validity:active)
- شرح كيفية فرض مسارات عمل CodeQL ومراجعة التبعيات باستخدام مجموعات قواعد المستودع (Repository Rulesets)
- وصف كيفية تكوين فحص الكود لتحديد الثغرات ومعالجتها في مرحلة مبكرة (الفحص عند تقديم طلب سحب)
- وصف كيفية تكوين فحص الأسرار لتحديد الثغرات ومعالجتها مبكراً (تمكين حماية الدفع)
- وصف كيفية تكوين تحليل التبعيات لتحديد الثغرات ومعالجتها مبكراً (تمكين مراجعة التبعيات للفحص عند تقديم طلب سحب)
عزز فرص نجاحك يوم الامتحان من خلال الاستثمار في هذا الاختبار الشامل. اضمن تقدمك المهني وأثبت مهاراتك الاستثنائية في مجال DevSecOps. احصل على اختبار GH-500 التدريبي اليوم واتخذ خطوة حاسمة نحو تحقيق شهاداتك المعتمدة من مايكروسوفت و GitHub!
