أمان سلسلة توريد البرمجيات: دليل شامل لفرق الهندسة

أمان سلسلة توريد البرمجيات: دليل شامل لفرق الهندسة

مقدمة: لماذا يُعدّ أمان سلسلة توريد البرمجيات مهمًا في ديسمبر 2020، اكتشف العالم أن SolarWinds — وهي منصة إدارة تقنية المعلومات الموثوقة على نطاق واسع — قد تعرضت للاختراق. قام المهاجمون بحقن كود خبيث في عملية build لبرنامج Orion، ووزّعوا تحديثًا ملوثًا على ما يقارب 18,000 مؤسسة، بما في ذلك وكالات حكومية أمريكية وشركات مدرجة … اقرأ المزيد

مختبر عملي: بناء حاويات قابلة للتكرار — Pinning و Verifying و Diffing للصور

مختبر عملي: بناء حاويات قابلة للتكرار — Pinning و Verifying و Diffing للصور

نظرة عامة إذا قمت ببناء نفس ملف Dockerfile مرتين وحصلت على صور مختلفة، فلن تتمكن من التحقق من سلامة البناء. البناء غير القابل للتكرار يعني أنه لا توجد لديك طريقة للتأكد من أن العنصر البرمجي الذي يعمل في الإنتاج قد تم إنتاجه فعلاً من الكود المصدري الذي قمت بمراجعته. يمكن للمهاجمين استغلال هذا الغموض لحقن … اقرأ المزيد

مختبر: تنفيذ خط أنابيب بناء آمن باستخدام Tekton و Tekton Chains

مختبر: تنفيذ خط أنابيب بناء آمن باستخدام Tekton و Tekton Chains

نظرة عامة Tekton هو إطار عمل مفتوح المصدر قوي يعمل بشكل أصلي على Kubernetes لإنشاء أنظمة التكامل المستمر والتسليم المستمر (CI/CD). يعمل كمجموعة من تعريفات الموارد المخصصة (CRDs) على أي مجموعة Kubernetes، مما يتيح لك تعريف خطوط الأنابيب كملفات YAML تصريحية قابلة للنقل بين البيئات المختلفة. Tekton Chains هو مشروع مرافق يضيف أمان سلسلة التوريد … اقرأ المزيد

مقارنة أدوات SBOM: Syft مقابل Trivy مقابل CycloneDX CLI

مقارنة أدوات SBOM: Syft مقابل Trivy مقابل CycloneDX CLI

لماذا تُعدّ قوائم SBOM مهمة: الضرورة التنظيمية والأمنية قائمة مكونات البرمجيات (Software Bill of Materials – SBOM) هي جرد رسمي قابل للقراءة آلياً لكل مكوّن ومكتبة وتبعية تُشكّل جزءاً من البرنامج. فكّر فيها كملصق المعلومات الغذائية لتطبيقك — لكن بدلاً من السعرات الحرارية والصوديوم، فأنت تسرد الحزم والإصدارات والتراخيص وبيانات المصدر. انتقلت قوائم SBOM من … اقرأ المزيد

مقارنة أدوات توقيع صور الحاويات: Cosign مقابل Notation مقابل GPG

مقارنة أدوات توقيع صور الحاويات: Cosign مقابل Notation مقابل GPG

لماذا يُعدّ توقيع صور الحاويات أمرًا مهمًا في كل مرة تسحب فيها صورة حاوية وتنشرها في بيئة الإنتاج، فإنك تمنح ثقة ضمنية لهذا المُخرَج. لكن كيف تتحقق من أن الصورة لم يتم التلاعب بها؟ وكيف تتأكد أنها بُنيت فعلاً بواسطة مسار CI/CD الخاص بك وليس من قبل مهاجم اخترق سجل الحاويات؟ يحل توقيع صور الحاويات … اقرأ المزيد

إثبات مصدر القطع البرمجية والشهادات: من SLSA إلى in-toto

إثبات مصدر القطع البرمجية والشهادات: من SLSA إلى in-toto

مقدمة لطالما كان توقيع الكود ركيزة أساسية في أمن البرمجيات. عندما تتحقق من توقيع ما، تعرف من وقّع على القطعة البرمجية. لكن معرفة من وقّع على شيء ما لا تخبرك كيف تم بناؤه، أو أين تم بناؤه، أو ما الكود المصدري الذي دخل فيه. يمكن لمشرف أن يوقّع ملفًا ثنائيًا تم تجميعه على حاسوب محمول … اقرأ المزيد

مختبر عملي: إنشاء والتحقق من شهادات SLSA Provenance لصور الحاويات

مختبر عملي: إنشاء والتحقق من شهادات SLSA Provenance لصور الحاويات

نظرة عامة SLSA (Supply-chain Levels for Software Artifacts) provenance هو سجل قابل للتحقق يصف كيفية بناء artifact: مستودع المصدر، ومنصة البناء، ونقطة الدخول، والمواد المدخلة. عند إرفاقه بصورة حاوية، يتيح provenance للمستهلكين الإجابة على سؤال بالغ الأهمية قبل النشر: “هل تم بناء هذه الصورة فعلاً من المصدر الذي أتوقعه، على منصة أثق بها؟” في هذا … اقرأ المزيد

معمل: توقيع والتحقق من صور الحاويات باستخدام Cosign في GitHub Actions

معمل: توقيع والتحقق من صور الحاويات باستخدام Cosign في GitHub Actions

يجب توقيع كل صورة حاوية ينتجها خط أنابيب CI/CD الخاص بك بشكل تشفيري قبل أن تصل إلى أي بيئة. الصور غير الموقعة تمثل نقطة عمياء — ليس لديك دليل على أنها جاءت من خط الأنابيب الخاص بك، ولا ضمان بأنها لم يتم التلاعب بها أثناء النقل، ولا آلية سياسة لمنع عمليات النشر غير المصرح بها. في هذا المعمل العملي ستقوم بتوقيع صور الحاويات والتحقق منها باستخدام Cosign في GitHub Actions.

شرح مستويات SLSA: قائمة تحقق عملية للامتثال لفرق الهندسة

شرح مستويات SLSA: قائمة تحقق عملية للامتثال لفرق الهندسة

مقدمة: ما هو SLSA ولماذا يجب أن تهتم؟ Supply-chain Levels for Software Artifacts — SLSA (يُنطق “salsa”) — هو إطار أمني أنشأته Google وتتولى صيانته الآن مؤسسة Open Source Security Foundation (OpenSSF). هدفه بسيط في ظاهره: جعل العبث بالبرمجيات التي تبنيها وتنشرها أكثر صعوبة على المهاجمين. إذا تابعت الحوادث البارزة مثل SolarWinds أو Codecov أو … اقرأ المزيد

مقارنة أدوات فحص أمان CI/CD: Trivy مقابل Grype مقابل Snyk مقابل Checkov

مقارنة أدوات فحص أمان CI/CD: Trivy مقابل Grype مقابل Snyk مقابل Checkov

مقدمة لم يعد تأمين خط أنابيب CI/CD أمرًا اختياريًا — بل أصبح متطلبًا أساسيًا لأي مؤسسة برمجية حديثة. مع تزايد هجمات سلسلة التوريد من حيث التكرار والتعقيد، فإن الأدوات التي تدمجها في خطوط أنابيب البناء والنشر تحدد بشكل مباشر وضعك الأمني. لكن مع تنامي منظومة أدوات الفحص، قد يكون اختيار الأداة المناسبة (أو التركيبة المناسبة) … اقرأ المزيد