مقارنة محركات السياسات في CI/CD: OPA مقابل Kyverno مقابل Sentinel مقابل Cedar

مقارنة محركات السياسات في CI/CD: OPA مقابل Kyverno مقابل Sentinel مقابل Cedar

مقدمة: لماذا تُعتبر محركات السياسات مهمة لأنابيب CI/CD تعمل أنابيب CI/CD الحديثة بسرعة كبيرة. تُنفّذ الفرق عشرات — وأحياناً مئات — عمليات النشر يومياً، وكل عملية نشر تحمل قرارات تهيئة تؤثر على الأمان والامتثال والاستقرار التشغيلي. يمكن لملف Kubernetes manifest واحد خاطئ التهيئة، أو دور IAM مفرط الصلاحيات في Terraform، أو صورة حاوية مسحوبة من … اقرأ المزيد

مقارنة أدوات SBOM: Syft مقابل Trivy مقابل CycloneDX CLI

مقارنة أدوات SBOM: Syft مقابل Trivy مقابل CycloneDX CLI

لماذا تُعدّ قوائم SBOM مهمة: الضرورة التنظيمية والأمنية قائمة مكونات البرمجيات (Software Bill of Materials – SBOM) هي جرد رسمي قابل للقراءة آلياً لكل مكوّن ومكتبة وتبعية تُشكّل جزءاً من البرنامج. فكّر فيها كملصق المعلومات الغذائية لتطبيقك — لكن بدلاً من السعرات الحرارية والصوديوم، فأنت تسرد الحزم والإصدارات والتراخيص وبيانات المصدر. انتقلت قوائم SBOM من … اقرأ المزيد

مقارنة أدوات توقيع صور الحاويات: Cosign مقابل Notation مقابل GPG

مقارنة أدوات توقيع صور الحاويات: Cosign مقابل Notation مقابل GPG

لماذا يُعدّ توقيع صور الحاويات أمرًا مهمًا في كل مرة تسحب فيها صورة حاوية وتنشرها في بيئة الإنتاج، فإنك تمنح ثقة ضمنية لهذا المُخرَج. لكن كيف تتحقق من أن الصورة لم يتم التلاعب بها؟ وكيف تتأكد أنها بُنيت فعلاً بواسطة مسار CI/CD الخاص بك وليس من قبل مهاجم اخترق سجل الحاويات؟ يحل توقيع صور الحاويات … اقرأ المزيد

إثبات مصدر القطع البرمجية والشهادات: من SLSA إلى in-toto

إثبات مصدر القطع البرمجية والشهادات: من SLSA إلى in-toto

مقدمة لطالما كان توقيع الكود ركيزة أساسية في أمن البرمجيات. عندما تتحقق من توقيع ما، تعرف من وقّع على القطعة البرمجية. لكن معرفة من وقّع على شيء ما لا تخبرك كيف تم بناؤه، أو أين تم بناؤه، أو ما الكود المصدري الذي دخل فيه. يمكن لمشرف أن يوقّع ملفًا ثنائيًا تم تجميعه على حاسوب محمول … اقرأ المزيد

مختبر عملي: فرض سياسات نشر Kubernetes باستخدام OPA Conftest في CI/CD

مختبر عملي: فرض سياسات نشر Kubernetes باستخدام OPA Conftest في CI/CD

نظرة عامة تُعدّ ملفات Kubernetes المُهيَّأة بشكل خاطئ من أبرز أسباب الحوادث الأمنية في بيئات الإنتاج. فحاوية تعمل بصلاحيات root، أو وسم صورة غير مُثبَّت، أو حدّ موارد مفقود، أو شبكة مضيف مكشوفة — كلّ واحدة من هذه قد تفتح الباب أمام تصعيد الصلاحيات أو استنزاف الموارد أو الحركة الجانبية داخل عنقودك. المشكلة أنّ هذه … اقرأ المزيد

مختبر عملي: اكتشاف ومنع تسريب الأسرار في أنابيب CI/CD

مختبر عملي: اكتشاف ومنع تسريب الأسرار في أنابيب CI/CD

نظرة عامة تسريب الأسرار في أنابيب CI/CD هو السبب الأول لاختراق الأنابيب. بيانات الاعتماد المكشوفة — مفاتيح API، وكلمات مرور قواعد البيانات، ورموز الوصول إلى السحابة — تمنح المهاجمين مساراً مباشراً إلى أنظمة الإنتاج. وفقاً لتقرير GitGuardian لعام 2025 حول حالة انتشار الأسرار، تم اكتشاف أكثر من 12 مليون سر جديد في عمليات commit العامة … اقرأ المزيد

مختبر: تعزيز أمان سير عمل GitHub Actions — الصلاحيات، تثبيت الإصدارات، والأسرار

مختبر: تعزيز أمان سير عمل GitHub Actions — الصلاحيات، تثبيت الإصدارات، والأسرار

نظرة عامة أصبح GitHub Actions منصة CI/CD الأكثر استخدامًا على نطاق واسع للبرمجيات مفتوحة المصدر والتجارية على حد سواء. هذه الشعبية تجعله سطح الهجوم الأول في بيئة CI/CD. تقوم سير العمل المُعدَّة بشكل خاطئ بتسريب الأسرار بشكل منتظم، ومنح صلاحيات مفرطة، وسحب شفرات طرف ثالث يمكن التلاعب بها بصمت. في هذا المختبر العملي ستقوم بتعزيز … اقرأ المزيد

مختبر عملي: إنشاء والتحقق من شهادات SLSA Provenance لصور الحاويات

مختبر عملي: إنشاء والتحقق من شهادات SLSA Provenance لصور الحاويات

نظرة عامة SLSA (Supply-chain Levels for Software Artifacts) provenance هو سجل قابل للتحقق يصف كيفية بناء artifact: مستودع المصدر، ومنصة البناء، ونقطة الدخول، والمواد المدخلة. عند إرفاقه بصورة حاوية، يتيح provenance للمستهلكين الإجابة على سؤال بالغ الأهمية قبل النشر: “هل تم بناء هذه الصورة فعلاً من المصدر الذي أتوقعه، على منصة أثق بها؟” في هذا … اقرأ المزيد

معمل: توقيع والتحقق من صور الحاويات باستخدام Cosign في GitHub Actions

معمل: توقيع والتحقق من صور الحاويات باستخدام Cosign في GitHub Actions

يجب توقيع كل صورة حاوية ينتجها خط أنابيب CI/CD الخاص بك بشكل تشفيري قبل أن تصل إلى أي بيئة. الصور غير الموقعة تمثل نقطة عمياء — ليس لديك دليل على أنها جاءت من خط الأنابيب الخاص بك، ولا ضمان بأنها لم يتم التلاعب بها أثناء النقل، ولا آلية سياسة لمنع عمليات النشر غير المصرح بها. في هذا المعمل العملي ستقوم بتوقيع صور الحاويات والتحقق منها باستخدام Cosign في GitHub Actions.

تمرين عملي: تأمين خطوط أنابيب GitLab CI — Protected Variables و Runners و Environments

تمرين عملي: تأمين خطوط أنابيب GitLab CI — Protected Variables و Runners و Environments

نظرة عامة يُعد GitLab CI ثاني أكثر منصات CI/CD استخدامًا في القطاع، حيث يُشغّل ملايين خطوط الأنابيب عبر مؤسسات بمختلف الأحجام. يجعل تكامله الوثيق مع نظام التحكم بالمصادر منه أداة مريحة للغاية — لكن هذا التكامل ذاته يُنشئ سطح هجوم واسعًا إذا لم يتم تقوية خطوط الأنابيب بشكل متعمد. في هذا التمرين العملي ستمر بستة … اقرأ المزيد