شرح مستويات SLSA: قائمة تحقق عملية للامتثال لفرق الهندسة

شرح مستويات SLSA: قائمة تحقق عملية للامتثال لفرق الهندسة

مقدمة: ما هو SLSA ولماذا يجب أن تهتم؟ Supply-chain Levels for Software Artifacts — SLSA (يُنطق “salsa”) — هو إطار أمني أنشأته Google وتتولى صيانته الآن مؤسسة Open Source Security Foundation (OpenSSF). هدفه بسيط في ظاهره: جعل العبث بالبرمجيات التي تبنيها وتنشرها أكثر صعوبة على المهاجمين. إذا تابعت الحوادث البارزة مثل SolarWinds أو Codecov أو … اقرأ المزيد

شرح أهم 10 مخاطر OWASP في CI/CD مع أمثلة واقعية

شرح أهم 10 مخاطر OWASP في CI/CD مع أمثلة واقعية

أصبحت خطوط أنابيب CI/CD العمود الفقري لتسليم البرمجيات الحديثة. لكن مع هذه القوة تأتي مخاطر كبيرة. يُصنّف مشروع OWASP Top 10 CI/CD Security Risks أهم نواقل الهجوم التي تستهدف أنظمة التكامل المستمر والتسليم المستمر. في هذا الدليل، نشرح كل خطر مع أمثلة واقعية وتقييمات للأثر وإجراءات تخفيف عملية يمكنك تطبيقها على GitHub Actions وGitLab CI … اقرأ المزيد

بيانات الاعتماد قصيرة العمر و Workload Identity Federation في أنابيب CI/CD

بيانات الاعتماد قصيرة العمر و Workload Identity Federation في أنابيب CI/CD

إذا قمت بتدقيق مخازن الأسرار في معظم منصات CI/CD اليوم، ستجد مقبرة من بيانات الاعتماد طويلة العمر. يشرح هذا الدليل كيف يزيل Workload Identity Federation و OIDC federation الحاجة إلى الأسرار الثابتة من خلال استبدالها ببيانات اعتماد قصيرة العمر ومحددة النطاق تلقائياً.

مختبر: إعداد OIDC Workload Identity لـ GitHub Actions مع AWS

مختبر: إعداد OIDC Workload Identity لـ GitHub Actions مع AWS

نظرة عامة إذا كانت سير عمل GitHub Actions الخاصة بك تتصل بـ AWS باستخدام AWS_ACCESS_KEY_ID و AWS_SECRET_ACCESS_KEY المخزنة كأسرار في المستودع، فأنت تواجه مشكلة أمنية خطيرة. هذه البيانات طويلة الأمد لا تنتهي صلاحيتها من تلقاء نفسها، ويمكن لأي خطوة في سير العمل استخراجها (بما في ذلك الإجراءات من أطراف ثالثة)، وتمنح المهاجمين وصولاً دائماً إلى … اقرأ المزيد

مقارنة أدوات فحص أمان CI/CD: Trivy مقابل Grype مقابل Snyk مقابل Checkov

مقارنة أدوات فحص أمان CI/CD: Trivy مقابل Grype مقابل Snyk مقابل Checkov

مقدمة لم يعد تأمين خط أنابيب CI/CD أمرًا اختياريًا — بل أصبح متطلبًا أساسيًا لأي مؤسسة برمجية حديثة. مع تزايد هجمات سلسلة التوريد من حيث التكرار والتعقيد، فإن الأدوات التي تدمجها في خطوط أنابيب البناء والنشر تحدد بشكل مباشر وضعك الأمني. لكن مع تنامي منظومة أدوات الفحص، قد يكون اختيار الأداة المناسبة (أو التركيبة المناسبة) … اقرأ المزيد

مختبر: تشغيل Runners ذاتية الاستضافة مؤقتة لـ GitHub Actions باستخدام Actions Runner Controller

مختبر: تشغيل Runners ذاتية الاستضافة مؤقتة لـ GitHub Actions باستخدام Actions Runner Controller

نظرة عامة الـ runners المستضافة على GitHub مشتركة ومؤقتة (ephemeral) افتراضياً — فكل مهمة تحصل على جهاز افتراضي جديد يُدمَّر بعد اكتمال المهمة. أما الـ runners ذاتية الاستضافة، فهي دائمة ومشتركة عبر عمليات تشغيل الـ workflow. وهذا يخلق خطراً أمنياً كبيراً: إذ يمكن أن تتسرّب الأسرار والرموز وartifacts الـ build من مهمة إلى المهمة التالية. … اقرأ المزيد

مختبر: بناء خط أنابيب SBOM — التوليد والتصديق والتحقق باستخدام Syft وCosign

مختبر: بناء خط أنابيب SBOM — التوليد والتصديق والتحقق باستخدام Syft وCosign

نظرة عامة أصبحت قوائم مكونات البرمجيات (SBOMs) بسرعة عنصرًا إلزاميًا لشفافية سلسلة توريد البرمجيات. تتطلب الأوامر التنفيذية والأطر التنظيمية مثل NIST SSDF والمعايير الصناعية الآن من المؤسسات إنتاج وتوزيع والتحقق من SBOMs لكل إصدار برمجي. تسرد SBOM كل مكون ومكتبة وتبعية داخل برنامجك — مما يمنح المستهلكين القدرة على تقييم المخاطر وتتبع الثغرات والتحقق من … اقرأ المزيد

مختبر: استغلال والدفاع ضد Poisoned Pipeline Execution (PPE)

مختبر: استغلال والدفاع ضد Poisoned Pipeline Execution (PPE)

نظرة عامة يحتل Poisoned Pipeline Execution (PPE) المرتبة الثانية في قائمة OWASP CI/CD Security Top 10. وهو فئة من الهجمات حيث يتلاعب مهاجم خبيث بعملية البناء عن طريق حقن كود في تعريفات الـ pipeline أو سكربتات البناء، عادةً من خلال pull request. بمجرد أن يلتقط نظام CI التغيير، يتم تنفيذ كود المهاجم داخل بيئة البناء … اقرأ المزيد

أنماط الدفاع والتخفيف من هجمات CI/CD Pipeline

أنماط الدفاع والتخفيف من هجمات CI/CD Pipeline

مقدمة إن فهم كيفية مهاجمة CI/CD pipelines ليس سوى نصف الصورة. يمنحنا نمذجة التهديدات وتصنيف الهجمات خريطة لساحة المعركة، لكن بدون أنماط دفاعية ملموسة وتدابير هندسية للتخفيف، تظل تلك المعرفة نظرية. يسدّ هذا الدليل الفجوة بين الوعي والعمل. الهدف ليس بناء حصن منيع — فهذا غير موجود. بدلاً من ذلك، نركز على تقليل سطح الهجوم، … اقرأ المزيد

Dependency Confusion وArtifact Poisoning: تقنيات الهجوم والدفاعات

Dependency Confusion وArtifact Poisoning: تقنيات الهجوم والدفاعات

مقدمة شهدت هجمات سلسلة توريد البرمجيات ارتفاعًا ملحوظًا في التكرار والتعقيد خلال السنوات الأخيرة. فبدلاً من مهاجمة التطبيقات مباشرة، يستهدف المهاجمون بشكل متزايد طبقات تحليل التبعيات وتوزيع المكونات البرمجية التي تشكّل أساس تطوير البرمجيات الحديثة. ومن أكثر التقنيات فعالية في هذا السياق: dependency confusion وartifact poisoning. تستغل هذه الهجمات حقيقة جوهرية: البرمجيات الحديثة تُجمَّع ولا … اقرأ المزيد