فصل المهام وأقل صلاحية في خطوط أنابيب CI/CD

فصل المهام وأقل صلاحية في خطوط أنابيب CI/CD

مقدمة تبدأ معظم خطوط أنابيب CI/CD بهدف بسيط: نقل الشيفرة البرمجية من جهاز المطوّر إلى بيئة الإنتاج بأسرع ما يمكن. في أثناء ذلك، ينشئ أحدهم حساب خدمة، ويمنحه صلاحيات واسعة، ويخزّن بيانات الاعتماد كسر في خط الأنابيب، ثم يمضي قدمًا. يعمل النظام. تنجح عمليات البناء، وتنجح عمليات النشر، ولا يفكر أحد في الأمر مجددًا — … اقرأ المزيد

قيود الشبكة ونظام الملفات لبيئات بناء CI/CD

قيود الشبكة ونظام الملفات لبيئات بناء CI/CD

تُعد خطوط أنابيب CI/CD من أكثر الأحمال امتيازاً في أي مؤسسة. فهي تسحب الشيفرة المصدرية، وتنزّل التبعيات، وتصل إلى الأسرار، وتدفع الـ artifacts إلى سجلات الإنتاج. ومع ذلك، في كثير من البيئات، تعمل عمليات الـ build القائمة خلف هذه الخطوط بوصول شبكي غير مقيّد وأذونات كاملة على نظام الملفات — وهو مزيج يمثّل واحدة من … اقرأ المزيد

مختبر: محاكاة هجوم Dependency Confusion في بيئة Sandbox

مختبر: محاكاة هجوم Dependency Confusion في بيئة Sandbox

نظرة عامة يُعد dependency confusion هجومًا على سلسلة التوريد يستغل الطريقة التي تحل بها أدوات إدارة الحزم أسماء الحزم عند تكوين كل من السجلات الخاصة (الداخلية) والعامة. عندما ينشر مهاجم حزمة خبيثة على سجل عام باستخدام نفس اسم حزمة خاصة داخلية — ولكن برقم إصدار أعلى — قد يفضل مدير الحزم الإصدار العام، مما يؤدي … اقرأ المزيد

شرح مستويات SLSA: قائمة تحقق عملية للامتثال لفرق الهندسة

شرح مستويات SLSA: قائمة تحقق عملية للامتثال لفرق الهندسة

مقدمة: ما هو SLSA ولماذا يجب أن تهتم؟ Supply-chain Levels for Software Artifacts — SLSA (يُنطق “salsa”) — هو إطار أمني أنشأته Google وتتولى صيانته الآن مؤسسة Open Source Security Foundation (OpenSSF). هدفه بسيط في ظاهره: جعل العبث بالبرمجيات التي تبنيها وتنشرها أكثر صعوبة على المهاجمين. إذا تابعت الحوادث البارزة مثل SolarWinds أو Codecov أو … اقرأ المزيد

شرح أهم 10 مخاطر OWASP في CI/CD مع أمثلة واقعية

شرح أهم 10 مخاطر OWASP في CI/CD مع أمثلة واقعية

أصبحت خطوط أنابيب CI/CD العمود الفقري لتسليم البرمجيات الحديثة. لكن مع هذه القوة تأتي مخاطر كبيرة. يُصنّف مشروع OWASP Top 10 CI/CD Security Risks أهم نواقل الهجوم التي تستهدف أنظمة التكامل المستمر والتسليم المستمر. في هذا الدليل، نشرح كل خطر مع أمثلة واقعية وتقييمات للأثر وإجراءات تخفيف عملية يمكنك تطبيقها على GitHub Actions وGitLab CI … اقرأ المزيد

بيانات الاعتماد قصيرة العمر و Workload Identity Federation في أنابيب CI/CD

بيانات الاعتماد قصيرة العمر و Workload Identity Federation في أنابيب CI/CD

إذا قمت بتدقيق مخازن الأسرار في معظم منصات CI/CD اليوم، ستجد مقبرة من بيانات الاعتماد طويلة العمر. يشرح هذا الدليل كيف يزيل Workload Identity Federation و OIDC federation الحاجة إلى الأسرار الثابتة من خلال استبدالها ببيانات اعتماد قصيرة العمر ومحددة النطاق تلقائياً.

مختبر: إعداد OIDC Workload Identity لـ GitHub Actions مع AWS

مختبر: إعداد OIDC Workload Identity لـ GitHub Actions مع AWS

نظرة عامة إذا كانت سير عمل GitHub Actions الخاصة بك تتصل بـ AWS باستخدام AWS_ACCESS_KEY_ID و AWS_SECRET_ACCESS_KEY المخزنة كأسرار في المستودع، فأنت تواجه مشكلة أمنية خطيرة. هذه البيانات طويلة الأمد لا تنتهي صلاحيتها من تلقاء نفسها، ويمكن لأي خطوة في سير العمل استخراجها (بما في ذلك الإجراءات من أطراف ثالثة)، وتمنح المهاجمين وصولاً دائماً إلى … اقرأ المزيد

مقارنة أدوات فحص أمان CI/CD: Trivy مقابل Grype مقابل Snyk مقابل Checkov

مقارنة أدوات فحص أمان CI/CD: Trivy مقابل Grype مقابل Snyk مقابل Checkov

مقدمة لم يعد تأمين خط أنابيب CI/CD أمرًا اختياريًا — بل أصبح متطلبًا أساسيًا لأي مؤسسة برمجية حديثة. مع تزايد هجمات سلسلة التوريد من حيث التكرار والتعقيد، فإن الأدوات التي تدمجها في خطوط أنابيب البناء والنشر تحدد بشكل مباشر وضعك الأمني. لكن مع تنامي منظومة أدوات الفحص، قد يكون اختيار الأداة المناسبة (أو التركيبة المناسبة) … اقرأ المزيد

مختبر: تشغيل Runners ذاتية الاستضافة مؤقتة لـ GitHub Actions باستخدام Actions Runner Controller

مختبر: تشغيل Runners ذاتية الاستضافة مؤقتة لـ GitHub Actions باستخدام Actions Runner Controller

نظرة عامة الـ runners المستضافة على GitHub مشتركة ومؤقتة (ephemeral) افتراضياً — فكل مهمة تحصل على جهاز افتراضي جديد يُدمَّر بعد اكتمال المهمة. أما الـ runners ذاتية الاستضافة، فهي دائمة ومشتركة عبر عمليات تشغيل الـ workflow. وهذا يخلق خطراً أمنياً كبيراً: إذ يمكن أن تتسرّب الأسرار والرموز وartifacts الـ build من مهمة إلى المهمة التالية. … اقرأ المزيد

مختبر: بناء خط أنابيب SBOM — التوليد والتصديق والتحقق باستخدام Syft وCosign

مختبر: بناء خط أنابيب SBOM — التوليد والتصديق والتحقق باستخدام Syft وCosign

نظرة عامة أصبحت قوائم مكونات البرمجيات (SBOMs) بسرعة عنصرًا إلزاميًا لشفافية سلسلة توريد البرمجيات. تتطلب الأوامر التنفيذية والأطر التنظيمية مثل NIST SSDF والمعايير الصناعية الآن من المؤسسات إنتاج وتوزيع والتحقق من SBOMs لكل إصدار برمجي. تسرد SBOM كل مكون ومكتبة وتبعية داخل برنامجك — مما يمنح المستهلكين القدرة على تقييم المخاطر وتتبع الثغرات والتحقق من … اقرأ المزيد