المختبرات

تمثل مختبرات Secure Pipelines تمارين عملية مصممة لاستكشاف سيناريوهات واقعية لأمن خطوط CI/CD وأمن سلسلة توريد البرمجيات.

تركز هذه المختبرات على فهم كيفية استهداف خطوط التسليم بالهجمات، وأين تنهار حدود الثقة، وكيف يمكن تنفيذ ضوابط أمان فعالة.

ما الذي يمكن توقعه من المختبرات

تم تصميم المختبرات لتكون عملية بطبيعتها، ومبنية على منصات وأدوات CI/CD حقيقية.

  • تمارين خطوة بخطوة
  • تكوينات وتدفقات عمل CI/CD واقعية
  • أمثلة وأوامر YAML
  • نتائج متوقعة واضحة
  • سيناريوهات فشل وأخطاء في الإعداد

يهدف كل مختبر إلى توضيح ليس فقط كيفية تأمين خط التسليم، بل أيضًا كيف ولماذا قد تفشل ضوابط الأمان.

مختبرات منصات CI/CD

تركز هذه المختبرات على تأمين منصات CI/CD وبيئات التنفيذ الخاصة بها.

  • مختبرات GitHub Actions
    تأمين تدفقات العمل، الصلاحيات، الـ Runners، والإجراءات التابعة لجهات خارجية.
  • مختبرات GitLab CI
    حماية خطوط التسليم، المهام (Jobs)، الـ Runners، وتدفقات النشر.
  • محركات CI/CD مخصصة
    مختبرات تعتمد على أدوات مثل Tekton أو Runners مستضافة ذاتيًا.

مختبرات سلسلة توريد البرمجيات

تستكشف هذه المختبرات الهجمات ووسائل الدفاع المرتبطة بسلسلة توريد البرمجيات.

  • اختراق الاعتماديات وتسميمها
  • العبث بالمنتجات البرمجية واستبدالها
  • إنشاء بيانات المصدر (Provenance) والتحقق منها
  • إنشاء قوائم مكونات البرمجيات (SBOM) والتحقق منها

مختبرات تحصين خطوط التسليم

تركز هذه المختبرات على تعزيز بيئات تنفيذ خطوط التسليم.

  • عزل الـ Runners ونماذج التنفيذ
  • تطبيق مبدأ أقل امتياز وتحديد الصلاحيات
  • تعرض الأسرار وسبل حمايتها
  • قيود الشبكة ونظام الملفات

سيناريوهات الهجوم والدفاع

يعد فهم تقنيات المهاجمين أمرًا أساسيًا لتمكين الدفاع الفعّال عن خطوط التسليم.

  • مسارات هجوم واقعية على CI/CD
  • إساءة استخدام صلاحيات خطوط التسليم
  • اعتماديات وإجراءات مخترقة
  • استراتيجيات الكشف والدفاع والتخفيف من المخاطر

كيفية استخدام المختبرات

تم تصميم المختبرات ليتم تنفيذها في بيئات اختبار أو بيئات معزولة (Sandbox).

قبل البدء في أي مختبر، يُنصح بما يلي:

  • امتلاك معرفة أساسية بـ CI/CD و Git
  • فهم المنصة أو الأداة المستهدفة
  • استخدام بيئات غير إنتاجية فقط

يتضمن كل مختبر:

  • المتطلبات المسبقة
  • تعليمات الإعداد
  • خطوات التنفيذ
  • إرشادات التنظيف بعد الانتهاء

النظام البيئي المرتبط

للجوانب المتعلقة بالحوكمة، وقابلية التدقيق، والامتثال في مجال أمن CI/CD، يرجى زيارة regulated-devsecops.com.

يركز Secure Pipelines على كيفية تنفيذ واختبار ضوابط الأمان، بينما يشرح Regulated DevSecOps كيفية حوكمة هذه الضوابط وتقييمها.