ورقة مرجعية لأمان GitHub Actions: الصلاحيات، التثبيت، الأسرار، و OIDC

ورقة مرجعية لأمان GitHub Actions: الصلاحيات، التثبيت، الأسرار، و OIDC

1. الصلاحيات — مبدأ الحد الأدنى من الامتيازات أهم تغيير يمكنك إجراؤه على أي سير عمل في GitHub Actions هو تقييد الصلاحيات. بشكل افتراضي، يمتلك GITHUB_TOKEN صلاحيات قراءة وكتابة على معظم النطاقات. قم بتغيير ذلك فوراً. صلاحيات القراءة فقط الافتراضية (المستوى الأعلى) ضع هذا في أعلى كل ملف سير عمل لجعل القراءة فقط هي الوضع … اقرأ المزيد

تهديدات وهجمات CI/CD: ما يستهدفه المهاجمون وكيفية الدفاع

تهديدات وهجمات CI/CD: ما يستهدفه المهاجمون وكيفية الدفاع

يعتمد تسليم البرمجيات الحديث على خطوط أنابيب التكامل المستمر والتسليم المستمر (CI/CD) لبناء الكود واختباره ونشره على نطاق واسع. وقد أصبحت هذه الـ pipelines العمود الفقري لـ DevOps، إذ تمكّن المؤسسات من إطلاق الميزات بسرعة وموثوقية أكبر من أي وقت مضى. لكن هذه القوة تأتي بمقايضة حاسمة: فقد باتت أنظمة CI/CD واحدة من أكثر أسطح … اقرأ المزيد

أمان GitHub Actions: الدليل الشامل

أمان GitHub Actions: الدليل الشامل

أصبحت GitHub Actions منصة CI/CD الأوسع انتشارًا في العالم. فمع قدرة أكثر من 90% من مستودعات GitHub على استخدامها محليًا، صارت تشغّل كل شيء بدءًا من فحوص linting البسيطة وصولًا إلى عمليات النشر المعقدة متعددة السحابات. لكن هذا الانتشار الواسع يجعلها سطح الهجوم الأكثر استهدافًا في مجال CI/CD ضمن تطوير البرمجيات الحديث. في عامَي 2024 … اقرأ المزيد

أمان سلسلة توريد البرمجيات: دليل شامل لفرق الهندسة

أمان سلسلة توريد البرمجيات: دليل شامل لفرق الهندسة

مقدمة: لماذا يُعدّ أمان سلسلة توريد البرمجيات مهمًا في ديسمبر 2020، اكتشف العالم أن SolarWinds — وهي منصة إدارة تقنية المعلومات الموثوقة على نطاق واسع — قد تعرضت للاختراق. قام المهاجمون بحقن كود خبيث في عملية build لبرنامج Orion، ووزّعوا تحديثًا ملوثًا على ما يقارب 18,000 مؤسسة، بما في ذلك وكالات حكومية أمريكية وشركات مدرجة … اقرأ المزيد

أمان GitLab CI/CD: الدليل الشامل

أمان GitLab CI/CD: الدليل الشامل

أصبح GitLab CI/CD العمود الفقري لممارسات DevSecOps الحديثة، إذ يوفّر منصة متكاملة تجتمع فيها الشيفرة وخطوط الأنابيب (pipelines) والفحص الأمني وعمليات النشر في واجهة واحدة. لكن هذا التكامل العميق سلاح ذو حدّين: فخط أنابيب مُعدّ إعداداً خاطئاً قد يكشف الأسرار، أو يسمح بعمليات نشر غير مصرّح بها، أو يمنح المهاجمين موطئ قدم في بنيتك التحتية. … اقرأ المزيد

الدليل الشامل لأمان خطوط أنابيب CI/CD

الدليل الشامل لأمان خطوط أنابيب CI/CD

مقدمة تُعدّ خطوط أنابيب CI/CD العمود الفقري لتسليم البرمجيات الحديثة. فهي تُؤتمت الرحلة من إيداع الكود إلى النشر في بيئة الإنتاج، مما يُمكّن الفرق من الشحن بشكل أسرع وأكثر موثوقية وبثقة أكبر. لكن هذه القوة تأتي مع مقايضة حاسمة: أصبحت خطوط الأنابيب بشكل متزايد الهدف الرئيسي للمهاجمين المتطورين. فكّر فيما تلمسه خطوط أنابيب CI/CD. إنها … اقرأ المزيد

تقوية خطوط الأنابيب: كيفية تأمين بيئات البناء والنشر في CI/CD

تقوية خطوط الأنابيب: كيفية تأمين بيئات البناء والنشر في CI/CD

أصبحت خطوط أنابيب CI/CD العمود الفقري لتسليم البرمجيات الحديثة. فهي تُصرّف الشيفرة، وتُشغّل الاختبارات، وتُدير الأسرار، وتُهيّئ البنية التحتية، وتنشر التطبيقات في بيئة الإنتاج. غير أن هذا الدور المحوري يجعلها من أكثر المكوّنات امتيازًا — وأكثرها استهدافًا — في كامل حزمتك التقنية. إن اختراق خط أنابيب واحد لا يمسّ نظامًا واحدًا فحسب؛ بل يمكن أن … اقرأ المزيد

مختبر عملي: بناء حاويات قابلة للتكرار — Pinning و Verifying و Diffing للصور

مختبر عملي: بناء حاويات قابلة للتكرار — Pinning و Verifying و Diffing للصور

نظرة عامة إذا قمت ببناء نفس ملف Dockerfile مرتين وحصلت على صور مختلفة، فلن تتمكن من التحقق من سلامة البناء. البناء غير القابل للتكرار يعني أنه لا توجد لديك طريقة للتأكد من أن العنصر البرمجي الذي يعمل في الإنتاج قد تم إنتاجه فعلاً من الكود المصدري الذي قمت بمراجعته. يمكن للمهاجمين استغلال هذا الغموض لحقن … اقرأ المزيد

تمرين عملي: اكتشاف التلاعب بالعناصر البرمجية — استبدال صور الحاويات في Registry

تمرين عملي: اكتشاف التلاعب بالعناصر البرمجية — استبدال صور الحاويات في Registry

نظرة عامة وسوم صور الحاويات (tags) هي مؤشرات قابلة للتغيير. على عكس Git commit hash، فإن الوسم v1.0.0 ليس مرتبطاً تشفيرياً بصورة محددة — إنه مجرد تسمية يربطها registry بملخص manifest digest. يمكن لأي شخص لديه صلاحيات الدفع (push access) إلى المستودع الكتابة فوق هذا الربط في أي وقت، مستبدلاً الصورة خلف وسم موثوق بصمت … اقرأ المزيد

مختبر: تنفيذ خط أنابيب بناء آمن باستخدام Tekton و Tekton Chains

مختبر: تنفيذ خط أنابيب بناء آمن باستخدام Tekton و Tekton Chains

نظرة عامة Tekton هو إطار عمل مفتوح المصدر قوي يعمل بشكل أصلي على Kubernetes لإنشاء أنظمة التكامل المستمر والتسليم المستمر (CI/CD). يعمل كمجموعة من تعريفات الموارد المخصصة (CRDs) على أي مجموعة Kubernetes، مما يتيح لك تعريف خطوط الأنابيب كملفات YAML تصريحية قابلة للنقل بين البيئات المختلفة. Tekton Chains هو مشروع مرافق يضيف أمان سلسلة التوريد … اقرأ المزيد