تجمع هذه الصفحة مراجع تقنية وأدوات وموارد مرتبطة بأمن خطوط CI/CD وحماية سلسلة توريد البرمجيات.
تم اختيار الموارد المدرجة هنا بناءً على أهميتها وعمقها التقني وفائدتها العملية.
المعايير والأطر المرجعية
- SLSA (Supply-chain Levels for Software Artifacts)
إطار عمل يهدف إلى تحسين سلامة عمليات البناء ومصدر المنتجات البرمجية ضمن سلاسل التوريد.
← دليل: مصدر المنتجات البرمجية والبيانات التعريفية | ← مختبر: تتبع SLSA - in-toto
إطار لتأمين سلامة سلسلة توريد البرمجيات باستخدام البيانات الوصفية والتوثيقات.
← دليل: من SLSA إلى in-toto - SSDF (NIST Secure Software Development Framework)
إرشادات لدمج الأمان عبر دورة حياة تطوير البرمجيات. - OWASP Top 10 CI/CD Risks
نموذج تهديدات يركز على مخاطر أمن خطوط CI/CD.
← دليل: أنماط الدفاع واستراتيجيات التخفيف
أدوات أمن CI/CD
- Sigstore (Cosign, Rekor, Fulcio)
مجموعة أدوات لتوقيع والتحقق وتسجيل المنتجات البرمجية وبيانات التوثيق.
← دليل: التوقيع باستخدام Sigstore و Cosign | ← مختبر: Cosign في GitHub Actions - Trivy
أداة لفحص الثغرات والإعدادات وملفات SBOM للحاويات وخطوط التسليم. - Syft
أداة لإنشاء قوائم مكونات البرمجيات (SBOM) من الحاويات أو الشيفرة المصدرية.
← مختبر: خط إنتاج SBOM باستخدام Syft و Cosign - Grype
ماسح ثغرات يعتمد على تحليل SBOM.
← مختبر: خط إنتاج SBOM باستخدام Syft و Cosign - Checkov
أداة تحليل ساكن للبنية التحتية كرمز وتكوينات خطوط CI/CD. - Gitleaks
أداة كشف الأسرار في مستودعات git، وخطافات pre-commit، وخطوط CI/CD.
← مختبر: كشف ومنع تسريب الأسرار - TruffleHog
ماسح بيانات اعتماد مع كشف أسرار موثق عبر تاريخ git وأنظمة الملفات والخدمات السحابية.
← مختبر: كشف ومنع تسريب الأسرار - actionlint
محلل ساكن لملفات تدفقات عمل GitHub Actions — يكشف الإعدادات الخاطئة ومخاطر حقن التعبيرات.
← مختبر: كشف GitHub Actions الخبيثة - zizmor
تحليل ساكن أمني لتدفقات عمل GitHub Actions.
← مختبر: كشف GitHub Actions الخبيثة - crane
أداة سطر أوامر للتعامل مع سجلات الحاويات — فحص، نسخ، تعديل، ومقارنة الصور.
← مختبر: العبث بالمنتجات البرمجية وكشفه - diffoscope
أداة مقارنة معمقة للملفات والمجلدات وصور الحاويات — ضرورية للتحقق من قابلية إعادة إنتاج البناء.
← مختبر: بناء حاويات قابل لإعادة الإنتاج
فرض السياسات وضوابط التحكم
- Open Policy Agent (OPA)
محرك سياسات عام لفرض ضوابط الأمان داخل خطوط التسليم.
← دليل: Policy as Code باستخدام OPA و Rego | ← مختبر: OPA Conftest في CI/CD - Kyverno
محرك سياسات مخصص لبيئات Kubernetes الأصلية. - Conftest
أداة لكتابة واختبار السياسات مقابل بيانات التكوين المنظمة.
← مختبر: OPA Conftest في CI/CD
إدارة الأسرار
- HashiCorp Vault
منصة إدارة أسرار مع أسرار ديناميكية، وتشفير، ووصول قائم على الهوية.
← دليل: إدارة الأسرار مع تكامل Vault - GitHub Actions OIDC
اتحاد هوية أحمال العمل لـ GitHub Actions — إزالة بيانات الاعتماد السحابية طويلة الأمد.
← دليل: اتحاد هوية أحمال العمل | ← مختبر: OIDC مع AWS - GitLab CI OIDC
مصادقة رموز الهوية لـ GitLab CI — بيانات اعتماد قصيرة العمر للوصول السحابي.
← دليل: اتحاد هوية أحمال العمل
منصات وأنظمة CI/CD
- GitHub Actions
منصة CI/CD تتمتع بنظام بيئي غني وميزات أمان متنامية.
← مختبر: تحصين GitHub Actions - GitLab CI/CD
منصة DevSecOps متكاملة مع ضوابط أمان مدمجة.
← مختبر: تأمين GitLab CI - Tekton
إطار CI/CD أصلي لـ Kubernetes لبناء خطوط تسليم مخصصة.
← مختبر: Tekton و Tekton Chains - Actions Runner Controller (ARC)
مشغل Kubernetes لـ Runners مؤقتة وقابلة للتوسع تلقائياً في GitHub Actions.
← مختبر: Runners مؤقتة مع ARC
نمذجة التهديدات والهجمات
- OWASP Top 10 CI/CD Risks
نموذج التهديدات المرجعي لمخاطر أمن خطوط CI/CD.
← دليل: خطوط CI/CD كسطح هجوم - Poisoned Pipeline Execution (PPE)
الخطر رقم 2 في OWASP CI/CD — يعدل المهاجم كود خط التسليم أو نصوص البناء عبر طلبات السحب.
← مختبر: استغلال والدفاع ضد PPE - Dependency confusion (Alex Birsan, 2021)
البحث الأصلي الذي اخترق Apple و Microsoft و Tesla عبر حل أسماء مدير الحزم.
← دليل: التباس الاعتماديات وتسميم المنتجات | ← مختبر: محاكاة التباس الاعتماديات - نمذجة تهديدات CI/CD
تحليل حدود الثقة ومسارات الهجوم في خطوط CI/CD.
← دليل: نماذج التنفيذ وافتراضات الثقة
أدلة المقارنة
مقارنات معمقة لمساعدتك في اختيار الأدوات المناسبة لمجموعة أمن CI/CD الخاصة بك.
- مقارنة ماسحات أمن CI/CD — Trivy مقابل Grype مقابل Snyk مقابل Checkov
- مقارنة أدوات توقيع الحاويات — Cosign مقابل Notation مقابل GPG
- مقارنة أدوات SBOM — Syft مقابل Trivy مقابل CycloneDX CLI
- مقارنة محركات سياسات CI/CD — OPA مقابل Kyverno مقابل Sentinel مقابل Cedar
مراجع سريعة وملخصات
مراجع مختصرة وجاهزة للنسخ للمهام اليومية في أمن CI/CD.
- مرجع سريع لأمان GitHub Actions — الصلاحيات، التثبيت، الأسرار، و OIDC
- مرجع سريع لأمان GitLab CI — المتغيرات، Runners، البيئات، و OIDC
- OWASP Top 10 CI/CD Risks — شرح مع أمثلة واقعية
- مستويات SLSA — قائمة تحقق عملية للامتثال
مراجع خارجية
- OWASP Foundation
موارد أمنية مفتوحة ونماذج تهديدات. - CNCF TAG Security
مبادرات سحابية أصلية وأفضل الممارسات لأمن سلسلة التوريد. - NIST CSRC
معايير وإرشادات أمنية متعلقة بتطوير البرمجيات وسلاسل التوريد. - OpenSSF (Open Source Security Foundation)
تعاون عبر الصناعة حول أمن البرمجيات مفتوحة المصدر، بما في ذلك Scorecard و SLSA و Sigstore.
النظام البيئي المرتبط
للمواضيع المتعلقة بالامتثال والحوكمة والمتطلبات التنظيمية في DevSecOps و CI/CD، يرجى زيارة regulated-devsecops.com.
تم تصميم الموقعين ليكملا بعضهما البعض:
- Secure Pipelines : التنفيذ التقني وممارسات الهندسة
- Regulated DevSecOps : الحوكمة وقابلية التدقيق والامتثال
