Said OULMAKHZOUNE لماذا تُعدّ قوائم SBOM مهمة: الضرورة التنظيمية والأمنية قائمة مكونات البرمجيات (Software Bill of Materials – SBOM) هي جرد رسمي قابل للقراءة آلياً لكل مكوّن ومكتبة وتبعية تُشكّل جزءاً من البرنامج. فكّر فيها كملصق المعلومات الغذائية لتطبيقك — لكن بدلاً من السعرات الحرارية والصوديوم، فأنت تسرد الحزم والإصدارات والتراخيص وبيانات المصدر. انتقلت قوائم SBOM من … اقرأ المزيد
مقدمة لطالما كان توقيع الكود ركيزة أساسية في أمن البرمجيات. عندما تتحقق من توقيع ما، تعرف من وقّع على القطعة البرمجية. لكن معرفة من وقّع على شيء ما لا تخبرك كيف تم بناؤه، أو أين تم بناؤه، أو ما الكود المصدري الذي دخل فيه. يمكن لمشرف أن يوقّع ملفًا ثنائيًا تم تجميعه على حاسوب محمول … اقرأ المزيد
نظرة عامة أصبح GitHub Actions منصة CI/CD الأكثر استخدامًا على نطاق واسع للبرمجيات مفتوحة المصدر والتجارية على حد سواء. هذه الشعبية تجعله سطح الهجوم الأول في بيئة CI/CD. تقوم سير العمل المُعدَّة بشكل خاطئ بتسريب الأسرار بشكل منتظم، ومنح صلاحيات مفرطة، وسحب شفرات طرف ثالث يمكن التلاعب بها بصمت. في هذا المختبر العملي ستقوم بتعزيز … اقرأ المزيد
يجب توقيع كل صورة حاوية ينتجها خط أنابيب CI/CD الخاص بك بشكل تشفيري قبل أن تصل إلى أي بيئة. الصور غير الموقعة تمثل نقطة عمياء — ليس لديك دليل على أنها جاءت من خط الأنابيب الخاص بك، ولا ضمان بأنها لم يتم التلاعب بها أثناء النقل، ولا آلية سياسة لمنع عمليات النشر غير المصرح بها. في هذا المعمل العملي ستقوم بتوقيع صور الحاويات والتحقق منها باستخدام Cosign في GitHub Actions.
CI/CD pipelines are among the most privileged workloads in any organization. They pull source code, download dependencies, access secrets, and push artifacts to production registries. Yet in many environments, the build processes behind these pipelines run with unrestricted network access and full filesystem permissions — a combination that represents one of the most exploitable gaps … اقرأ المزيد
أصبحت خطوط أنابيب CI/CD العمود الفقري لتسليم البرمجيات الحديثة. لكن مع هذه القوة تأتي مخاطر كبيرة. يُصنّف مشروع OWASP Top 10 CI/CD Security Risks أهم نواقل الهجوم التي تستهدف أنظمة التكامل المستمر والتسليم المستمر. في هذا الدليل، نشرح كل خطر مع أمثلة واقعية وتقييمات للأثر وإجراءات تخفيف عملية يمكنك تطبيقها على GitHub Actions وGitLab CI … اقرأ المزيد
إذا قمت بتدقيق مخازن الأسرار في معظم منصات CI/CD اليوم، ستجد مقبرة من بيانات الاعتماد طويلة العمر. يشرح هذا الدليل كيف يزيل Workload Identity Federation و OIDC federation الحاجة إلى الأسرار الثابتة من خلال استبدالها ببيانات اعتماد قصيرة العمر ومحددة النطاق تلقائياً.
نظرة عامة إذا كانت سير عمل GitHub Actions الخاصة بك تتصل بـ AWS باستخدام AWS_ACCESS_KEY_ID و AWS_SECRET_ACCESS_KEY المخزنة كأسرار في المستودع، فأنت تواجه مشكلة أمنية خطيرة. هذه البيانات طويلة الأمد لا تنتهي صلاحيتها من تلقاء نفسها، ويمكن لأي خطوة في سير العمل استخراجها (بما في ذلك الإجراءات من أطراف ثالثة)، وتمنح المهاجمين وصولاً دائماً إلى … اقرأ المزيد
نظرة عامة تُعد GitHub-hosted runners مشتركة ومؤقتة بشكل افتراضي — حيث يحصل كل مهمة (job) على آلة افتراضية جديدة يتم تدميرها بعد اكتمال المهمة. أما Self-hosted runners، فهي دائمة ومشتركة عبر عمليات تشغيل سير العمل المختلفة. يُشكّل هذا خطراً أمنياً كبيراً: حيث يمكن أن تتسرب الأسرار (secrets) والرموز (tokens) ومخرجات البناء (build artifacts) من مهمة … اقرأ المزيد
نظرة عامة أصبحت قوائم مكونات البرمجيات (SBOMs) بسرعة عنصرًا إلزاميًا لشفافية سلسلة توريد البرمجيات. تتطلب الأوامر التنفيذية والأطر التنظيمية مثل NIST SSDF والمعايير الصناعية الآن من المؤسسات إنتاج وتوزيع والتحقق من SBOMs لكل إصدار برمجي. تسرد SBOM كل مكون ومكتبة وتبعية داخل برنامجك — مما يمنح المستهلكين القدرة على تقييم المخاطر وتتبع الثغرات والتحقق من … اقرأ المزيد
