المختبرات

تمثل مختبرات Secure Pipelines تمارين عملية مصممة لاستكشاف سيناريوهات واقعية لأمن خطوط CI/CD وأمن سلسلة توريد البرمجيات.

تركز هذه المختبرات على فهم كيفية استهداف خطوط التسليم بالهجمات، وأين تنهار حدود الثقة، وكيف يمكن تنفيذ ضوابط أمان فعالة.

---

ما الذي يمكن توقعه من المختبرات

تم تصميم المختبرات لتكون عملية بطبيعتها، ومبنية على منصات وأدوات CI/CD حقيقية.

• تمارين خطوة بخطوة
• تكوينات وتدفقات عمل CI/CD واقعية
• أمثلة وأوامر YAML
• نتائج متوقعة واضحة
• سيناريوهات فشل وأخطاء في الإعداد

يهدف كل مختبر إلى توضيح ليس فقط كيفية تأمين خط التسليم، بل أيضاً كيف ولماذا قد تفشل ضوابط الأمان.

---

مختبرات منصات CI/CD

تركز هذه المختبرات على تأمين منصات CI/CD وبيئات التنفيذ الخاصة بها.

• مختبرات GitHub Actions
  • تحصين تدفقات عمل GitHub Actions — الصلاحيات، التثبيت، والأسرار
  • تكوين هوية أحمال العمل OIDC لـ GitHub Actions مع AWS
  • كشف GitHub Actions الخبيثة باستخدام التحليل الساكن
  • تشغيل Runners مؤقتة مستضافة ذاتياً مع Actions Runner Controller
• مختبرات GitLab CI
  • تأمين خطوط GitLab CI — المتغيرات المحمية، Runners، والبيئات
• مختبرات Tekton
  • تنفيذ خط بناء آمن مع Tekton و Tekton Chains

---

مختبرات سلسلة توريد البرمجيات

تستكشف هذه المختبرات الهجمات ووسائل الدفاع المرتبطة بسلسلة توريد البرمجيات.

• اختراق الاعتماديات وتسميمها — محاكاة هجوم التباس الاعتماديات
• توقيع المنتجات البرمجية والتحقق منها باستخدام Cosign في GitHub Actions
• إنشاء بيانات المصدر (Provenance) والتحقق منها باستخدام SLSA
• إنشاء SBOM وتوثيقها والتحقق منها باستخدام Syft و Cosign
• بناء حاويات قابل لإعادة الإنتاج — التثبيت، التحقق، والمقارنة

---

مختبرات تحصين خطوط التسليم

تركز هذه المختبرات على تعزيز بيئات تنفيذ خطوط التسليم.

• عزل الـ Runners ونماذج التنفيذ — Runners مؤقتة مع ARC
• تطبيق مبدأ أقل امتياز وتحديد الصلاحيات
• تعرض الأسرار وسبل حمايتها
• فرض سياسات نشر Kubernetes باستخدام OPA Conftest

---

سيناريوهات الهجوم والدفاع

يعد فهم تقنيات المهاجمين أمراً أساسياً لتمكين الدفاع الفعّال عن خطوط التسليم.

• تنفيذ خط التسليم المسموم (PPE) — استغلال والدفاع ضد الهجوم رقم 2 على CI/CD
• اعتماديات مخترقة — محاكاة التباس الاعتماديات
• إجراءات مخترقة — كشف GitHub Actions الخبيثة
• كشف تسريب الأسرار ومنعه
• العبث بالمنتجات البرمجية وكشفه — استبدال صور الحاويات في السجل

---

كيفية استخدام المختبرات

تم تصميم المختبرات ليتم تنفيذها في بيئات اختبار أو بيئات معزولة (Sandbox).

قبل البدء في أي مختبر، يُنصح بما يلي:

• امتلاك معرفة أساسية بـ CI/CD و Git
• فهم المنصة أو الأداة المستهدفة
• استخدام بيئات غير إنتاجية فقط

يتضمن كل مختبر:

• المتطلبات المسبقة
• تعليمات الإعداد
• خطوات التنفيذ
• إرشادات التنظيف بعد الانتهاء

---

النظام البيئي المرتبط

للجوانب المتعلقة بالحوكمة، وقابلية التدقيق، والامتثال في مجال أمن CI/CD، يرجى زيارة regulated-devsecops.com.

يركز Secure Pipelines على كيفية تنفيذ واختبار ضوابط الأمان، بينما يشرح Regulated DevSecOps كيفية حوكمة هذه الضوابط وتقييمها.