تجمع هذه الصفحة مراجع تقنية وأدوات وموارد مرتبطة بأمن خطوط CI/CD وحماية سلسلة توريد البرمجيات.
تم اختيار الموارد المدرجة هنا بناءً على أهميتها وعمقها التقني وفائدتها العملية.
المعايير والأطر المرجعية
- SLSA (Supply-chain Levels for Software Artifacts)
إطار عمل يهدف إلى تحسين سلامة عمليات البناء ومصدر المنتجات البرمجية ضمن سلاسل التوريد. - in-toto
إطار لتأمين سلامة سلسلة توريد البرمجيات باستخدام البيانات الوصفية والتوثيقات. - SSDF (NIST Secure Software Development Framework)
إرشادات لدمج الأمان عبر دورة حياة تطوير البرمجيات. - OWASP Top 10 CI/CD Risks
نموذج تهديدات يركز على مخاطر أمن خطوط CI/CD.
أدوات أمن CI/CD
- Sigstore (Cosign, Rekor, Fulcio)
مجموعة أدوات لتوقيع والتحقق وتسجيل المنتجات البرمجية وبيانات التوثيق. - Trivy
أداة لفحص الثغرات والإعدادات وملفات SBOM للحاويات وخطوط التسليم. - Syft
أداة لإنشاء قوائم مكونات البرمجيات (SBOM) من الحاويات أو الشيفرة المصدرية. - Grype
ماسح ثغرات يعتمد على تحليل SBOM. - Checkov
أداة تحليل ساكن للبنية التحتية كرمز وتكوينات خطوط CI/CD.
فرض السياسات وضوابط التحكم
- Open Policy Agent (OPA)
محرك سياسات عام لفرض ضوابط الأمان داخل خطوط التسليم. - Kyverno
محرك سياسات مخصص لبيئات Kubernetes الأصلية. - Conftest
أداة لكتابة واختبار السياسات مقابل بيانات التكوين المنظمة.
منصات وأنظمة CI/CD
- GitHub Actions
منصة CI/CD تتمتع بنظام بيئي غني وميزات أمان متنامية. - GitLab CI/CD
منصة DevSecOps متكاملة مع ضوابط أمان مدمجة. - Tekton
إطار CI/CD أصلي لـ Kubernetes لبناء خطوط تسليم مخصصة.
نمذجة التهديدات والهجمات
- نماذج تهديدات CI/CD
تحليل لمسارات الهجوم التي تستهدف أنظمة البناء وخطوط التسليم والـ Runners. - هجمات سلسلة توريد البرمجيات
حوادث واقعية وتقنيات مستخدمة لاختراق خطوط التسليم. - حدود الثقة في خطوط التسليم
فهم افتراضات الثقة عبر مراحل خطوط CI/CD المختلفة.
مراجع خارجية
- OWASP Foundation
موارد أمنية مفتوحة ونماذج تهديدات. - CNCF Supply Chain Security
مبادرات سحابية أصلية وأفضل الممارسات لأمن سلسلة التوريد. - NIST
معايير وإرشادات أمنية متعلقة بتطوير البرمجيات وسلاسل التوريد.
النظام البيئي المرتبط
للموضوعات المتعلقة بالامتثال والحوكمة والمتطلبات التنظيمية في DevSecOps و CI/CD، يرجى زيارة regulated-devsecops.com.
تم تصميم الموقعين ليكملا بعضهما البعض:
- Secure Pipelines : التنفيذ التقني وممارسات الهندسة
- Regulated DevSecOps : الحوكمة وقابلية التدقيق والامتثال
