ورقة مرجعية لأمان GitHub Actions: الصلاحيات، التثبيت، الأسرار، و OIDC

ورقة مرجعية لأمان GitHub Actions: الصلاحيات، التثبيت، الأسرار، و OIDC

1. الصلاحيات — مبدأ الحد الأدنى من الامتيازات أهم تغيير يمكنك إجراؤه على أي سير عمل في GitHub Actions هو تقييد الصلاحيات. بشكل افتراضي، يمتلك GITHUB_TOKEN صلاحيات قراءة وكتابة على معظم النطاقات. قم بتغيير ذلك فوراً. صلاحيات القراءة فقط الافتراضية (المستوى الأعلى) ضع هذا في أعلى كل ملف سير عمل لجعل القراءة فقط هي الوضع … اقرأ المزيد

أمان GitHub Actions: الدليل الشامل

أمان GitHub Actions: الدليل الشامل

أصبحت GitHub Actions منصة CI/CD الأوسع انتشارًا في العالم. فمع قدرة أكثر من 90% من مستودعات GitHub على استخدامها محليًا، صارت تشغّل كل شيء بدءًا من فحوص linting البسيطة وصولًا إلى عمليات النشر المعقدة متعددة السحابات. لكن هذا الانتشار الواسع يجعلها سطح الهجوم الأكثر استهدافًا في مجال CI/CD ضمن تطوير البرمجيات الحديث. في عامَي 2024 … اقرأ المزيد

مختبر: تعزيز أمان سير عمل GitHub Actions — الصلاحيات، تثبيت الإصدارات، والأسرار

مختبر: تعزيز أمان سير عمل GitHub Actions — الصلاحيات، تثبيت الإصدارات، والأسرار

نظرة عامة أصبح GitHub Actions منصة CI/CD الأكثر استخدامًا على نطاق واسع للبرمجيات مفتوحة المصدر والتجارية على حد سواء. هذه الشعبية تجعله سطح الهجوم الأول في بيئة CI/CD. تقوم سير العمل المُعدَّة بشكل خاطئ بتسريب الأسرار بشكل منتظم، ومنح صلاحيات مفرطة، وسحب شفرات طرف ثالث يمكن التلاعب بها بصمت. في هذا المختبر العملي ستقوم بتعزيز … اقرأ المزيد

معمل: توقيع والتحقق من صور الحاويات باستخدام Cosign في GitHub Actions

معمل: توقيع والتحقق من صور الحاويات باستخدام Cosign في GitHub Actions

يجب توقيع كل صورة حاوية ينتجها خط أنابيب CI/CD الخاص بك بشكل تشفيري قبل أن تصل إلى أي بيئة. الصور غير الموقعة تمثل نقطة عمياء — ليس لديك دليل على أنها جاءت من خط الأنابيب الخاص بك، ولا ضمان بأنها لم يتم التلاعب بها أثناء النقل، ولا آلية سياسة لمنع عمليات النشر غير المصرح بها. في هذا المعمل العملي ستقوم بتوقيع صور الحاويات والتحقق منها باستخدام Cosign في GitHub Actions.

مختبر: إعداد OIDC Workload Identity لـ GitHub Actions مع AWS

مختبر: إعداد OIDC Workload Identity لـ GitHub Actions مع AWS

نظرة عامة إذا كانت سير عمل GitHub Actions الخاصة بك تتصل بـ AWS باستخدام AWS_ACCESS_KEY_ID و AWS_SECRET_ACCESS_KEY المخزنة كأسرار في المستودع، فأنت تواجه مشكلة أمنية خطيرة. هذه البيانات طويلة الأمد لا تنتهي صلاحيتها من تلقاء نفسها، ويمكن لأي خطوة في سير العمل استخراجها (بما في ذلك الإجراءات من أطراف ثالثة)، وتمنح المهاجمين وصولاً دائماً إلى … اقرأ المزيد

مختبر: تشغيل Runners ذاتية الاستضافة مؤقتة لـ GitHub Actions باستخدام Actions Runner Controller

مختبر: تشغيل Runners ذاتية الاستضافة مؤقتة لـ GitHub Actions باستخدام Actions Runner Controller

نظرة عامة الـ runners المستضافة على GitHub مشتركة ومؤقتة (ephemeral) افتراضياً — فكل مهمة تحصل على جهاز افتراضي جديد يُدمَّر بعد اكتمال المهمة. أما الـ runners ذاتية الاستضافة، فهي دائمة ومشتركة عبر عمليات تشغيل الـ workflow. وهذا يخلق خطراً أمنياً كبيراً: إذ يمكن أن تتسرّب الأسرار والرموز وartifacts الـ build من مهمة إلى المهمة التالية. … اقرأ المزيد

مختبر: اكتشاف GitHub Actions الخبيثة باستخدام التحليل الثابت

مختبر: اكتشاف GitHub Actions الخبيثة باستخدام التحليل الثابت

نظرة عامة تُعد GitHub Actions من الأطراف الثالثة واحدة من أكثر الميزات ملاءمة في نظام GitHub. باستخدام توجيه uses: واحد، يمكنك استيراد منطق بناء معقد، أو النشر على مزودي الخدمات السحابية، أو تشغيل أدوات الفحص الأمني. لكن هذه الراحة تأتي مع مقايضة حرجة: كل action من طرف ثالث تنفذ شيفرة برمجية في بيئة CI الخاصة بك مع إمكانية الوصول إلى أسرارك …

تأمين GitHub Actions Runners: الهندسة المعمارية والمخاطر وأفضل الممارسات

تأمين GitHub Actions Runners: الهندسة المعمارية والمخاطر وأفضل الممارسات

أصبحت GitHub Actions واحدة من أوسع منصات CI/CD انتشاراً. فمرونتها، وتكاملها الوثيق مع مستودعات GitHub، ومنظومتها الغنية، تجعلها جذابة للفرق بمختلف أحجامها. وفي الوقت نفسه، برزت GitHub Actions runners بوصفها سطح هجوم بالغ الأهمية في هجمات سلسلة توريد البرمجيات الحديثة. فالـ runners تنفّذ شيفرة غير موثوقة، وتتعامل مع أسرار حساسة، وكثيراً ما تعمل بأذونات واسعة … اقرأ المزيد