مختبر: بناء خط أنابيب SBOM — التوليد والتصديق والتحقق باستخدام Syft وCosign

مختبر: بناء خط أنابيب SBOM — التوليد والتصديق والتحقق باستخدام Syft وCosign

نظرة عامة أصبحت قوائم مكونات البرمجيات (SBOMs) بسرعة عنصرًا إلزاميًا لشفافية سلسلة توريد البرمجيات. تتطلب الأوامر التنفيذية والأطر التنظيمية مثل NIST SSDF والمعايير الصناعية الآن من المؤسسات إنتاج وتوزيع والتحقق من SBOMs لكل إصدار برمجي. تسرد SBOM كل مكون ومكتبة وتبعية داخل برنامجك — مما يمنح المستهلكين القدرة على تقييم المخاطر وتتبع الثغرات والتحقق من … اقرأ المزيد

توقيع صور الحاويات والتحقق منها باستخدام Sigstore و Cosign

توقيع صور الحاويات والتحقق منها باستخدام Sigstore و Cosign

مقدمة: لماذا يُعدّ توقيع العناصر البرمجية أمرًا بالغ الأهمية في CI/CD تتميز خطوط أنابيب تسليم البرمجيات الحديثة بقدرة فائقة على بناء الشفرة البرمجية وشحنها بسرعة. لكن السرعة دون ثقة تمثل مسؤولية خطيرة. بين لحظة إيداع الشفرة المصدرية ولحظة تشغيل صورة الحاوية في بيئة الإنتاج، توجد فجوة — فجوة يمكن أن يحدث فيها تلاعب أو استبدال … اقرأ المزيد

سلامة البناء والبناء القابل للتكرار: دليل عملي لـ CI/CD

سلامة البناء والبناء القابل للتكرار: دليل عملي لـ CI/CD

مقدمة إذا لم تتمكن من إعادة إنتاج عملية بناء، فلن تتمكن من التحقق منها. هذه الحقيقة البسيطة تقع في صميم أمان سلسلة توريد البرمجيات. تضمن سلامة البناء (build integrity) أن ما تنشره هو بالضبط ما كنت تنوي بناءه — لا شيء مضاف، لا شيء معدّل، لا شيء تم التلاعب به بين الكود المصدري والمنتج النهائي … اقرأ المزيد

أمن سلسلة توريد البرمجيات: شرح للمهندسين

أمن سلسلة توريد البرمجيات: شرح للمهندسين

أصبح أمن سلسلة توريد البرمجيات (software supply chain) واحدًا من أكثر المواضيع تداولًا في الأمن الحديث. ومع ذلك، فهو بالنسبة لكثير من المهندسين لا يزال غامض التعريف، مثقلًا بالمصطلحات الرنّانة، وكثيرًا ما يُطرح من زاوية الامتثال أو الأدوات بدلًا من الواقع الهندسي. هذا الانفصال عن الواقع خطير. معظم اختراقات سلسلة التوريد في العالم الحقيقي لا … اقرأ المزيد