مقارنة أدوات توقيع صور الحاويات: Cosign مقابل Notation مقابل GPG

مقارنة أدوات توقيع صور الحاويات: Cosign مقابل Notation مقابل GPG

لماذا يُعدّ توقيع صور الحاويات أمرًا مهمًا في كل مرة تسحب فيها صورة حاوية وتنشرها في بيئة الإنتاج، فإنك تمنح ثقة ضمنية لهذا المُخرَج. لكن كيف تتحقق من أن الصورة لم يتم التلاعب بها؟ وكيف تتأكد أنها بُنيت فعلاً بواسطة مسار CI/CD الخاص بك وليس من قبل مهاجم اخترق سجل الحاويات؟ يحل توقيع صور الحاويات … اقرأ المزيد

إثبات مصدر القطع البرمجية والشهادات: من SLSA إلى in-toto

إثبات مصدر القطع البرمجية والشهادات: من SLSA إلى in-toto

مقدمة لطالما كان توقيع الكود ركيزة أساسية في أمن البرمجيات. عندما تتحقق من توقيع ما، تعرف من وقّع على القطعة البرمجية. لكن معرفة من وقّع على شيء ما لا تخبرك كيف تم بناؤه، أو أين تم بناؤه، أو ما الكود المصدري الذي دخل فيه. يمكن لمشرف أن يوقّع ملفًا ثنائيًا تم تجميعه على حاسوب محمول … اقرأ المزيد

مختبر عملي: فرض سياسات نشر Kubernetes باستخدام OPA Conftest في CI/CD

مختبر عملي: فرض سياسات نشر Kubernetes باستخدام OPA Conftest في CI/CD

نظرة عامة تُعدّ ملفات Kubernetes المُهيَّأة بشكل خاطئ من أبرز أسباب الحوادث الأمنية في بيئات الإنتاج. فحاوية تعمل بصلاحيات root، أو وسم صورة غير مُثبَّت، أو حدّ موارد مفقود، أو شبكة مضيف مكشوفة — كلّ واحدة من هذه قد تفتح الباب أمام تصعيد الصلاحيات أو استنزاف الموارد أو الحركة الجانبية داخل عنقودك. المشكلة أنّ هذه … اقرأ المزيد

مختبر عملي: اكتشاف ومنع تسريب الأسرار في أنابيب CI/CD

مختبر عملي: اكتشاف ومنع تسريب الأسرار في أنابيب CI/CD

نظرة عامة تسريب الأسرار في أنابيب CI/CD هو السبب الأول لاختراق الأنابيب. بيانات الاعتماد المكشوفة — مفاتيح API، وكلمات مرور قواعد البيانات، ورموز الوصول إلى السحابة — تمنح المهاجمين مساراً مباشراً إلى أنظمة الإنتاج. وفقاً لتقرير GitGuardian لعام 2025 حول حالة انتشار الأسرار، تم اكتشاف أكثر من 12 مليون سر جديد في عمليات commit العامة … اقرأ المزيد

مختبر: تعزيز أمان سير عمل GitHub Actions — الصلاحيات، تثبيت الإصدارات، والأسرار

مختبر: تعزيز أمان سير عمل GitHub Actions — الصلاحيات، تثبيت الإصدارات، والأسرار

نظرة عامة أصبح GitHub Actions منصة CI/CD الأكثر استخدامًا على نطاق واسع للبرمجيات مفتوحة المصدر والتجارية على حد سواء. هذه الشعبية تجعله سطح الهجوم الأول في بيئة CI/CD. تقوم سير العمل المُعدَّة بشكل خاطئ بتسريب الأسرار بشكل منتظم، ومنح صلاحيات مفرطة، وسحب شفرات طرف ثالث يمكن التلاعب بها بصمت. في هذا المختبر العملي ستقوم بتعزيز … اقرأ المزيد

مختبر عملي: إنشاء والتحقق من شهادات SLSA Provenance لصور الحاويات

مختبر عملي: إنشاء والتحقق من شهادات SLSA Provenance لصور الحاويات

نظرة عامة SLSA (Supply-chain Levels for Software Artifacts) provenance هو سجل قابل للتحقق يصف كيفية بناء artifact: مستودع المصدر، ومنصة البناء، ونقطة الدخول، والمواد المدخلة. عند إرفاقه بصورة حاوية، يتيح provenance للمستهلكين الإجابة على سؤال بالغ الأهمية قبل النشر: “هل تم بناء هذه الصورة فعلاً من المصدر الذي أتوقعه، على منصة أثق بها؟” في هذا … اقرأ المزيد

تمرين عملي: تأمين خطوط أنابيب GitLab CI — Protected Variables و Runners و Environments

تمرين عملي: تأمين خطوط أنابيب GitLab CI — Protected Variables و Runners و Environments

نظرة عامة يُعد GitLab CI ثاني أكثر منصات CI/CD استخدامًا في القطاع، حيث يُشغّل ملايين خطوط الأنابيب عبر مؤسسات بمختلف الأحجام. يجعل تكامله الوثيق مع نظام التحكم بالمصادر منه أداة مريحة للغاية — لكن هذا التكامل ذاته يُنشئ سطح هجوم واسعًا إذا لم يتم تقوية خطوط الأنابيب بشكل متعمد. في هذا التمرين العملي ستمر بستة … اقرأ المزيد

فصل المهام وأقل صلاحية في خطوط أنابيب CI/CD

فصل المهام وأقل صلاحية في خطوط أنابيب CI/CD

مقدمة تبدأ معظم خطوط أنابيب CI/CD بهدف بسيط: نقل الشيفرة البرمجية من جهاز المطوّر إلى بيئة الإنتاج بأسرع ما يمكن. في أثناء ذلك، ينشئ أحدهم حساب خدمة، ويمنحه صلاحيات واسعة، ويخزّن بيانات الاعتماد كسر في خط الأنابيب، ثم يمضي قدمًا. يعمل النظام. تنجح عمليات البناء، وتنجح عمليات النشر، ولا يفكر أحد في الأمر مجددًا — … اقرأ المزيد

قيود الشبكة ونظام الملفات لبيئات بناء CI/CD

قيود الشبكة ونظام الملفات لبيئات بناء CI/CD

تُعد خطوط أنابيب CI/CD من أكثر الأحمال امتيازاً في أي مؤسسة. فهي تسحب الشيفرة المصدرية، وتنزّل التبعيات، وتصل إلى الأسرار، وتدفع الـ artifacts إلى سجلات الإنتاج. ومع ذلك، في كثير من البيئات، تعمل عمليات الـ build القائمة خلف هذه الخطوط بوصول شبكي غير مقيّد وأذونات كاملة على نظام الملفات — وهو مزيج يمثّل واحدة من … اقرأ المزيد

مختبر: محاكاة هجوم Dependency Confusion في بيئة Sandbox

مختبر: محاكاة هجوم Dependency Confusion في بيئة Sandbox

نظرة عامة يُعد dependency confusion هجومًا على سلسلة التوريد يستغل الطريقة التي تحل بها أدوات إدارة الحزم أسماء الحزم عند تكوين كل من السجلات الخاصة (الداخلية) والعامة. عندما ينشر مهاجم حزمة خبيثة على سجل عام باستخدام نفس اسم حزمة خاصة داخلية — ولكن برقم إصدار أعلى — قد يفضل مدير الحزم الإصدار العام، مما يؤدي … اقرأ المزيد