مقدمة
لم يعد تأمين خط أنابيب CI/CD أمرًا اختياريًا — بل أصبح متطلبًا أساسيًا لأي مؤسسة برمجية حديثة. مع تزايد هجمات سلسلة التوريد من حيث التكرار والتعقيد، فإن الأدوات التي تدمجها في خطوط أنابيب البناء والنشر تحدد بشكل مباشر وضعك الأمني. لكن مع تنامي منظومة أدوات الفحص، قد يكون اختيار الأداة المناسبة (أو التركيبة المناسبة) أمرًا مربكًا.
يقدم هذا الدليل مقارنة شاملة وعادلة لأربع من أكثر أدوات فحص أمان CI/CD استخدامًا: Trivy وGrype وSnyk وCheckov. نقيّم كل أداة عبر تغطية الميزات والأداء وسهولة التكامل والدقة والتسعير وحالات الاستخدام المثالية — حتى تتمكن من اتخاذ قرار مستنير لفريقك وخطوط أنابيبك.
سواء كنت تبني برنامج أمان من الصفر أو تعزز سير عمل CI/CD قائم، فإن فهم المقايضات بين هذه الأدوات أمر ضروري. لنبدأ.
معايير الاختيار: ما الذي يهم في أداة فحص أمان CI/CD
قبل مقارنة الأدوات الفردية، من المهم تحديد المعايير الأكثر أهمية عند تقييم أداة فحص أمان CI/CD. ليس كل فريق يحتاج إلى كل ميزة، لكن هذه هي الأبعاد التي تحدد النجاح على المدى الطويل باستمرار:
- دقة اكتشاف الثغرات — ما مدى جودة الأداة في تحديد ثغرات CVE المعروفة عبر اللغات وحزم نظام التشغيل وصور الحاويات؟ هل تحافظ على تحديث قاعدة بيانات الثغرات؟
- دعم SBOM — هل يمكن للأداة إنشاء أو استهلاك قوائم مواد البرمجيات (SBOM) بتنسيقات قياسية مثل SPDX وCycloneDX؟
- فحص البنية التحتية كرمز (IaC) — هل تحلل Terraform وCloudFormation ومخططات Kubernetes وDockerfiles ومخططات Helm بحثًا عن أخطاء التكوين؟
- سهولة تكامل CI/CD — ما مدى سرعة إضافة أداة الفحص إلى GitHub Actions أو GitLab CI أو Jenkins أو منصات خطوط الأنابيب الأخرى؟ هل تتوفر إجراءات أو قوالب رسمية؟
- السرعة — ما مدى سرعة تشغيل أداة الفحص؟ عمليات الفحص البطيئة تعيق سير عمل المطورين وتؤدي إلى تعطيل الفرق للفحوصات.
- معدل الإيجابيات الكاذبة — أداة الفحص التي تولد ضوضاء كثيرة تفقد ثقة المطورين. الدقة مهمة بقدر أهمية الاستدعاء.
- التسعير والترخيص — هل الأداة مفتوحة المصدر؟ هل يوجد مستوى مجاني؟ كيف تتغير التكلفة مع حجم الفريق وحجم الفحص؟
- المجتمع والمنظومة — هل يتم صيانة المشروع بنشاط؟ هل يوجد مجتمع قوي للدعم والإضافات والامتدادات؟
مع وضع هذه المعايير في الاعتبار، لنفحص كل أداة بالتفصيل.
Trivy: أداة الفحص مفتوحة المصدر الشاملة
ما الذي يفحصه Trivy
تطور Trivy، الذي طورته Aqua Security، من ماسح ثغرات حاويات بسيط إلى واحدة من أشمل أدوات الأمان مفتوحة المصدر المتاحة. يفحص:
- صور الحاويات (Docker, OCI)
- أنظمة الملفات والمجلدات المحلية
- مستودعات Git (عن بُعد)
- مجموعات ومخططات Kubernetes
- البنية التحتية كرمز (Terraform, CloudFormation, Ansible, Helm, Dockerfiles)
- إنشاء واستيعاب SBOM (بتنسيقات SPDX وCycloneDX)
- تراخيص البرمجيات
- الأسرار المضمنة في الرمز أو التكوين
نقاط القوة
- أداة شاملة: يحل Trivy محل ما كان يتطلب سابقًا ثلاث أو أربع أدوات منفصلة. فحص الحاويات وتحليل IaC وإنشاء SBOM واكتشاف الأسرار وفحص التراخيص كلها مدمجة.
- بدون تكوين: شغّل
trivy image your-image:tagوستحصل على النتائج فورًا. لا حسابات ولا مفاتيح API ولا ملفات تكوين مطلوبة للفحص الأساسي. - السرعة: يستخدم Trivy قاعدة بيانات ثغرات محلية يقوم بتنزيلها وتخزينها مؤقتًا. بعد التشغيل الأول، تكتمل عمليات الفحص في ثوانٍ — وليس دقائق.
- دعم واسع للغات: حزم نظام التشغيل (Alpine, Debian, Ubuntu, RHEL، إلخ)، بالإضافة إلى تبعيات التطبيقات لـ Go وNode.js وPython وRuby وJava وRust وPHP و.NET والمزيد.
- تطوير نشط: تستثمر Aqua Security بكثافة في Trivy. المشروع لديه إصدارات متكررة ومجتمع مساهمين كبير وتحديثات سريعة لقاعدة بيانات CVE.
القيود
- تخصيص السياسات: بينما يدعم Trivy سياسات Rego، فإن محرك السياسات المدمج أقل دقة من أدوات IaC المخصصة مثل Checkov. تتطلب كتابة سياسات مخصصة معرفة بـ OPA/Rego.
- لا اقتراحات للإصلاح: يبلّغ Trivy عن الثغرات لكنه لا يقترح تغييرات في الرمز أو ينشئ طلبات سحب تلقائية لإصلاحها.
- ميزات المؤسسات: بعض الميزات المتقدمة مثل لوحات المعلومات المركزية وتقارير الامتثال تتطلب منصة Aqua التجارية.
تكامل CI/CD
يتكامل Trivy بسهولة مع أي منصة CI/CD تقريبًا. إليك مثال على GitHub Actions:
name: Trivy Container Scan
on: push
jobs:
scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Build image
run: docker build -t myapp:${{ github.sha }} .
- name: Run Trivy vulnerability scanner
uses: aquasecurity/trivy-action@master
with:
image-ref: myapp:${{ github.sha }}
format: table
exit-code: 1
severity: CRITICAL,HIGHومثال على GitLab CI:
trivy-scan:
stage: test
image:
name: aquasec/trivy:latest
entrypoint: [""]
script:
- trivy image --exit-code 1 --severity CRITICAL,HIGH myapp:${CI_COMMIT_SHA}
allow_failure: falseالتسعير
Trivy مفتوح المصدر بالكامل بموجب ترخيص Apache 2.0. لا يوجد تمييز بين مستوى مجاني ومدفوع — كل ميزة في Trivy نفسه مجانية. تقدم Aqua Security منتجات تجارية (Aqua Platform) مبنية على Trivy لاحتياجات المؤسسات.
Grype: ماسح الثغرات الأصلي لـ SBOM
ما الذي يفحصه Grype
Grype، الذي طورته Anchore، هو ماسح ثغرات مصمم خصيصًا للعمل بشكل أصلي مع SBOM. يفحص:
- صور الحاويات (Docker, OCI)
- مستندات SBOM (بتنسيقات SPDX وCycloneDX — المولدة بواسطة Syft أو أدوات أخرى)
- أنظمة الملفات والمجلدات
- ملفات الأرشيف الفردية (JARs, WARs, tarballs)
نقاط القوة
- سير عمل أصلي لـ SBOM: صُمم Grype لاستهلاك SBOM كمدخل من الدرجة الأولى. ادمجه مع Syft (أيضًا من Anchore) للحصول على أفضل خط أنابيب لإنشاء SBOM وفحص الثغرات.
- خفيف ومركّز: يقوم Grype بشيء واحد بشكل جيد — فحص الثغرات. هذا يجعله سريعًا وسهل الفهم وقابلًا للتنبؤ.
- قاعدة بيانات ثغرات واسعة: يسحب Grype من مصادر بيانات متعددة بما في ذلك NVD واستشارات خاصة بنظام التشغيل (Alpine, Debian, Ubuntu, RHEL, Amazon Linux) وقواعد بيانات خاصة باللغات (GitHub Advisory Database, npm, PyPI, RubyGems).
- مرونة الإخراج: يدعم تنسيقات إخراج JSON وtable وCycloneDX وSARIF، مما يسهل التكامل مع الأدوات ولوحات المعلومات الأخرى.
- قابلية التركيب في خطوط الأنابيب: لأن Grype يقبل مدخلات SBOM، يمكنك إنشاء SBOM مرة واحدة (باستخدام Syft) وفحصه عدة مرات أو تخزينه مؤقتًا أو حفظه كقطعة بناء.
القيود
- فحص الثغرات فقط: لا يفحص Grype البنية التحتية كرمز ولا يكتشف الأسرار ولا يتحقق من التراخيص ولا يحلل جودة الرمز. إنه ماسح ثغرات فحسب.
- لا دعم لـ IaC: إذا كنت بحاجة إلى تحليل Terraform أو CloudFormation أو مخططات Kubernetes، ستحتاج إلى أداة منفصلة.
- لا اقتراحات للإصلاح: مثل Trivy، يبلّغ Grype عن الثغرات لكنه لا يقدم معالجة تلقائية.
- مجتمع أصغر: على الرغم من صيانته بنشاط، فإن مجتمع Grype أصغر من مجتمع Trivy أو Snyk.
تكامل CI/CD
يعمل Grype بشكل جيد في أي نظام CI/CD. إليك مثال على GitHub Actions باستخدام تركيبة Syft + Grype:
name: SBOM + Vulnerability Scan
on: push
jobs:
scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Build image
run: docker build -t myapp:${{ github.sha }} .
- name: Generate SBOM with Syft
uses: anchore/sbom-action@v0
with:
image: myapp:${{ github.sha }}
output-file: sbom.spdx.json
format: spdx-json
- name: Scan SBOM with Grype
uses: anchore/scan-action@v4
with:
sbom: sbom.spdx.json
fail-build: true
severity-cutoff: highالتسعير
Grype مفتوح المصدر بالكامل بموجب ترخيص Apache 2.0. تقدم Anchore منتج Anchore Enterprise للمؤسسات التي تحتاج إلى إدارة سياسات مركزية وRBAC وتقارير الامتثال وإدارة دورة حياة SBOM.
Snyk: منصة الأمان الموجهة للمطورين
ما الذي يفحصه Snyk
Snyk هي منصة أمان تجارية مع مستوى مجاني سخي، مصممة لدمج الأمان مباشرة في سير عمل المطورين. تفحص:
- تبعيات المصدر المفتوح (Snyk Open Source)
- الرمز المصدري للتطبيق (Snyk Code — SAST)
- صور الحاويات (Snyk Container)
- البنية التحتية كرمز (Snyk IaC — Terraform, CloudFormation, Kubernetes, ARM templates)
نقاط القوة
- تجربة المطور: أكبر ميزة تنافسية لـ Snyk هي تجربة المستخدم للمطورين. إضافات IDE وأدوات CLI ولوحات المعلومات على الويب وتكاملات Slack/Jira تجعل النتائج الأمنية قابلة للتنفيذ دون تبديل السياق.
- طلبات سحب إصلاح تلقائية: يمكن لـ Snyk فتح طلبات سحب تلقائيًا لترقية التبعيات الضعيفة إلى إصدارات آمنة. هذا يقلل بشكل كبير من متوسط وقت المعالجة.
- تكاملات منظومة غنية: تكاملات أصلية مع GitHub وGitLab وBitbucket وAzure DevOps وDocker Hub وAWS وGCP والعديد من المنصات الأخرى. يلتقي Snyk بالمطورين حيث يعملون بالفعل.
- الامتثال للتراخيص: يمكن لـ Snyk اكتشاف وفرض سياسات حول تراخيص المصدر المفتوح — ميزة تفتقر إليها العديد من الأدوات مفتوحة المصدر.
- نتائج مرتبة حسب الأولوية: يستخدم Snyk قاعدة بيانات الثغرات الخاصة به (Snyk Intel) مع سياق إضافي مثل نضج الاستغلال واتجاهات وسائل التواصل الاجتماعي وتحليل إمكانية الوصول للمساعدة في ترتيب النتائج حسب الأولوية.
- قدرات SAST: يوفر Snyk Code اختبار أمان التطبيقات الثابت، مما يغطي فجوة لا يعالجها Trivy وGrype.
القيود
- الاعتماد على SaaS: Snyk هي خدمة مستضافة على السحابة بشكل أساسي. بينما يوجد CLI، تتطلب الوظائف الكاملة إرسال البيانات إلى خوادم Snyk. يمكن أن يكون هذا عائقًا للبيئات المعزولة أو شديدة التنظيم.
- التكلفة على نطاق واسع: يغطي المستوى المجاني لـ Snyk مشاريع واختبارات محدودة. بالنسبة للمؤسسات التي لديها مئات المستودعات، يمكن أن تتصاعد التكاليف بشكل كبير.
- حدود المعدل في المستوى المجاني: يفرض المستوى المجاني حدودًا على عدد الاختبارات شهريًا، مما قد يكون مقيدًا لفرق التطوير النشطة.
- قفل المورد: قاعدة بيانات الثغرات واقتراحات الإصلاح الخاصة بـ Snyk مملوكة. الانتقال بعيدًا يعني فقدان تلك المعرفة المؤسسية.
تكامل CI/CD
يوفر Snyk إجراءات رسمية وأوامر CLI لجميع منصات CI/CD الرئيسية:
name: Snyk Security Scan
on: push
jobs:
scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Run Snyk to check for vulnerabilities
uses: snyk/actions/node@master
env:
SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
with:
args: --severity-threshold=high
- name: Run Snyk Container scan
uses: snyk/actions/docker@master
env:
SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
with:
image: myapp:${{ github.sha }}
args: --severity-threshold=highالتسعير
يقدم Snyk نموذج تسعير متدرج:
- مجاني: حتى 5 مشاريع، اختبارات محدودة شهريًا، دعم مجتمعي.
- فريق: يبدأ من حوالي 25 دولارًا/مطور/شهريًا. المزيد من المشاريع وحدود أعلى للمعدلات وتكامل Jira.
- مؤسسات: تسعير مخصص. SSO وRBAC وسياسات مخصصة ودعم SLA وخيارات محلية.
Checkov: بطل أمان البنية التحتية كرمز
ما الذي يفحصه Checkov
Checkov، الذي طوره Prisma Cloud (Palo Alto Networks)، هو أداة تحليل ثابت مصممة خصيصًا للبنية التحتية كرمز. يفحص:
- Terraform (ملفات HCL وplan)
- CloudFormation (JSON وYAML)
- مخططات Kubernetes
- Dockerfiles
- مخططات Helm
- تكوينات Serverless Framework
- قوالب ARM (Azure)
- ملفات سير عمل GitHub Actions
- قوالب Bicep
- مواصفات OpenAPI
نقاط القوة
- عمق التركيز على IaC: بينما تتضمن الأدوات الأخرى فحص IaC كواحدة من العديد من الميزات، يعامله Checkov كمهمة أساسية. ينتج عن هذا التركيز تحليل IaC أعمق وأكثر شمولًا.
- أكثر من 1,000 سياسة مدمجة: يأتي Checkov مع أكثر من ألف سياسة مبنية مسبقًا تغطي AWS وAzure وGCP وKubernetes وأفضل الممارسات العامة. تحصل على تغطية ذات معنى من البداية.
- سياسات مخصصة: اكتب سياسات مخصصة بلغة Python أو YAML. واجهة Python مرنة بما يكفي للتعبير عن متطلبات الامتثال المعقدة التي لا يمكن لمطابقة الأنماط البسيطة التعامل معها.
- تحليل قائم على الرسم البياني: يمكن لـ Checkov تحليل العلاقات بين الموارد — على سبيل المثال، اكتشاف أن حاوية S3 متاحة للعامة بسبب مجموعة من سياسة الحاوية وإعدادات ACL.
- فحص سلسلة التوريد: يمكن لـ Checkov تحليل ملفات تكوين خطوط أنابيب CI/CD (GitHub Actions, GitLab CI) بحثًا عن أخطاء التكوين الأمنية — قدرة فريدة بين هذه الأدوات الأربع.
- أطر الامتثال: تعيين مدمج لمعايير CIS وSOC 2 وHIPAA وPCI-DSS وNIST.
القيود
- ليس ماسح ثغرات: لا يفحص Checkov ثغرات CVE في صور الحاويات أو حزم نظام التشغيل أو تبعيات التطبيقات. يحلل التكوين وليس القطع الأثرية وقت التشغيل.
- IaC فقط: إذا كانت حاجتك الأساسية هي فحص الثغرات لصور الحاويات أو الرمز المصدري، فإن Checkov ليس الأداة المناسبة.
- السرعة مع قواعد الرمز الكبيرة: فحص مستودعات Terraform الأحادية الكبيرة جدًا مع تمكين تحليل الرسم البياني يمكن أن يكون بطيئًا مقارنة بأدوات الفحص الأبسط.
- منحنى تعلم السياسات المخصصة: بينما سياسات YAML واضحة، تتطلب فحوصات Python المخصصة المتقدمة إلمامًا بواجهات Checkov الداخلية.
تكامل CI/CD
يتكامل Checkov بسلاسة في خطوط أنابيب CI/CD:
name: Checkov IaC Scan
on: push
jobs:
checkov:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Run Checkov
uses: bridgecrewio/checkov-action@master
with:
directory: ./terraform
framework: terraform
soft_fail: false
output_format: sarif
quiet: trueالتسعير
Checkov مفتوح المصدر بموجب ترخيص Apache 2.0. جميع السياسات المدمجة ومحرك الفحص الأساسي مجانية. تقدم Palo Alto Networks منتج Prisma Cloud لميزات المؤسسات بما في ذلك لوحات المعلومات المركزية واكتشاف الانحراف وحماية وقت التشغيل ودعم المؤسسات.
جدول المقارنة جنبًا إلى جنب
| الميزة | Trivy | Grype | Snyk | Checkov |
|---|---|---|---|---|
| فحص الثغرات | نعم — حزم نظام التشغيل وتبعيات التطبيقات | نعم — حزم نظام التشغيل وتبعيات التطبيقات | نعم — التبعيات والحاويات والرمز | لا |
| إنشاء SBOM | نعم (SPDX, CycloneDX) | عبر Syft (أداة مصاحبة) | محدود | لا |
| فحص IaC | نعم (Terraform, CF, K8s, Docker) | لا | نعم (Terraform, CF, K8s, ARM) | نعم — أكثر من 1,000 سياسة وتحليل عميق |
| فحص الحاويات | نعم | نعم | نعم | Dockerfiles فقط (تحليل التكوين) |
| الامتثال للتراخيص | نعم | لا | نعم | لا |
| تكامل CI/CD | ممتاز — جميع المنصات | جيد — جميع المنصات | ممتاز — تكاملات أصلية | ممتاز — جميع المنصات |
| السرعة | سريع جدًا (قاعدة بيانات مخزنة مؤقتًا) | سريع | متوسط (استدعاءات API) | سريع (تحليل محلي) |
| معدل الإيجابيات الكاذبة | منخفض | منخفض | منخفض (مع الترتيب حسب الأولوية) | منخفض-متوسط (يعتمد على التكوين) |
| التسعير | مجاني / مفتوح المصدر | مجاني / مفتوح المصدر | مستوى مجاني ثم فريق ثم مؤسسات | مجاني / مفتوح المصدر |
| الأفضل لـ | فحص شامل لأي فريق | فحص ثغرات يركز على SBOM | تجربة المطور وأتمتة الإصلاح | امتثال IaC وإنفاذ السياسات |
متى تستخدم أي أداة: مصفوفة القرار
لا توجد أداة واحدة هي الأفضل عالميًا. يعتمد الماسح المناسب على حجم فريقك وسطح الهجوم الأساسي وميزانيتك وتفضيلات سير العمل. إليك مصفوفة قرار عملية:
اختر Trivy إذا…
- تريد أداة واحدة تغطي فحص الثغرات وتحليل IaC وإنشاء SBOM واكتشاف الأسرار.
- أنت فريق صغير إلى متوسط الحجم لا يستطيع تحمل صيانة أدوات أمان متعددة.
- تحتاج إلى ماسح بدون تكوين يعمل فورًا في أي نظام CI/CD.
- الميزانية قيد — Trivy مجاني تمامًا بدون تقييد ميزات.
اختر Grype + Syft إذا…
- تتبنى استراتيجية أمان تعتمد على SBOM أولًا وتحتاج إلى ماسح يعامل SBOM كمواطنين من الدرجة الأولى.
- تريد فصل إنشاء SBOM عن فحص الثغرات — أنشئ مرة واحدة وافحص عدة مرات.
- تبني خط أنابيب أمان قابل للتركيب حيث تقوم كل أداة بشيء واحد بشكل جيد.
- تحتاج إلى سير عمل شهادة والتحقق من SBOM (مثلًا للامتثال لـ SLSA).
اختر Snyk إذا…
- تجربة المطور هي أولويتك القصوى — تريد أن تكون النتائج الأمنية قابلة للتنفيذ بأقل احتكاك.
- طلبات سحب الإصلاح التلقائية ستقلل بشكل كبير من وقت المعالجة.
- تحتاج إلى تحليل الامتثال للتراخيص كجزء من سير عمل الأمان.
- تريد منصة مُدارة مع لوحات معلومات واتجاهات وتقارير جاهزة.
- مؤسستك لديها ميزانية لأدوات تجارية وتقدّر دعم المورد.
اختر Checkov إذا…
- أمان البنية التحتية كرمز هو اهتمامك الأساسي — تدير بنية تحتية كبيرة بـ Terraform أو CloudFormation أو Kubernetes.
- تحتاج إلى فرض أطر الامتثال (CIS, SOC 2, HIPAA, PCI-DSS) على بنيتك التحتية كرمز.
- تريد تحليلًا عميقًا قائمًا على الرسم البياني لعلاقات الموارد — وليس مجرد مطابقة أنماط.
- تحتاج إلى فحص ملفات تكوين خطوط أنابيب CI/CD (GitHub Actions, GitLab CI) بحثًا عن أخطاء التكوين.
تركيبات التغطية القصوى
- Trivy + Checkov: يتولى Trivy فحص الثغرات وفحص الحاويات وإنشاء SBOM. يوفر Checkov تحليل IaC عميق مع أكثر من 1,000 سياسة. تغطي هذه التركيبة أوسع مساحة سطح بتكلفة صفرية.
- Snyk + Checkov: يقدم Snyk فحص ثغرات صديق للمطورين مع إصلاحات تلقائية. يضيف Checkov عمق IaC الذي يتجاوز قدرات IaC المدمجة في Snyk. الأفضل للفرق التي تقدّر تجربة المطور ولديها ميزانية لـ Snyk.
- Grype + Syft + Checkov: للمؤسسات التي تسعى لأمان يعتمد على SBOM أولًا مع تغطية IaC شاملة. أنشئ SBOM باستخدام Syft وافحصها باستخدام Grype وحلل البنية التحتية باستخدام Checkov.
دمج الأدوات: بناء خط أنابيب متعدد الماسحات
في الممارسة العملية، الاعتماد على ماسح أمان واحد يترك فجوات. تتفوق كل أداة في مجالات مختلفة، والنهج متعدد الطبقات يوفر دفاعًا في العمق. الهدف ليس تشغيل كل أداة على كل عملية إيداع — بل تعيين الماسح المناسب للمهمة المناسبة.
إليك فلسفة عملية لدمج الأدوات:
- Trivy يعمل على كل بناء صورة حاوية لاكتشاف ثغرات نظام التشغيل وتبعيات التطبيقات.
- Checkov يعمل على كل تغيير في رمز البنية التحتية (Terraform, CloudFormation, مخططات Kubernetes) لاكتشاف أخطاء التكوين قبل وصولها إلى الإنتاج.
- Grype + Syft ينشئ ويفحص SBOM للتحقق من القطع الأثرية — مفيد بشكل خاص لخطوط أنابيب الإصدار وعمليات تدقيق الامتثال.
إليك سير عمل GitHub Actions كامل يجمع الثلاثة:
name: Multi-Scanner Security Pipeline
on:
push:
branches: [main]
pull_request:
branches: [main]
jobs:
trivy-container-scan:
name: Trivy — Container Vulnerabilities
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Build image
run: docker build -t myapp:${{ github.sha }} .
- name: Trivy vulnerability scan
uses: aquasecurity/trivy-action@master
with:
image-ref: myapp:${{ github.sha }}
format: sarif
output: trivy-results.sarif
exit-code: 1
severity: CRITICAL,HIGH
- name: Upload Trivy SARIF
uses: github/codeql-action/upload-sarif@v3
if: always()
with:
sarif_file: trivy-results.sarif
checkov-iac-scan:
name: Checkov — IaC Compliance
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Checkov IaC scan
uses: bridgecrewio/checkov-action@master
with:
directory: ./terraform
framework: terraform
output_format: sarif
soft_fail: false
- name: Upload Checkov SARIF
uses: github/codeql-action/upload-sarif@v3
if: always()
with:
sarif_file: results.sarif
sbom-verification:
name: Grype + Syft — SBOM Verification
runs-on: ubuntu-latest
needs: trivy-container-scan
steps:
- uses: actions/checkout@v4
- name: Build image
run: docker build -t myapp:${{ github.sha }} .
- name: Generate SBOM with Syft
uses: anchore/sbom-action@v0
with:
image: myapp:${{ github.sha }}
output-file: sbom.spdx.json
format: spdx-json
- name: Upload SBOM as artifact
uses: actions/upload-artifact@v4
with:
name: sbom
path: sbom.spdx.json
- name: Scan SBOM with Grype
uses: anchore/scan-action@v4
with:
sbom: sbom.spdx.json
fail-build: true
severity-cutoff: high
output-format: sarif
- name: Upload Grype SARIF
uses: github/codeql-action/upload-sarif@v3
if: always()
with:
sarif_file: results.sarifيشغّل خط الأنابيب هذا Trivy وCheckov بالتوازي (يفحصان أشياء مختلفة)، ثم يشغل Grype للتحقق من SBOM بعد تأكيد الحاوية. يتم رفع جميع النتائج بتنسيق SARIF لتظهر في تبويب الأمان في GitHub — مما يمنح فريقك عرضًا موحدًا للنتائج من جميع الأدوات الثلاث.
المبادئ الأساسية لدمج الماسحات بفعالية:
- شغّل الماسحات بالتوازي عندما يكون ذلك ممكنًا لتجنب إبطاء خط أنابيبك.
- استخدم إخراج SARIF حتى تظهر جميع النتائج في لوحة معلومات واحدة (GitHub Security أو GitLab Security Dashboard أو أداة طرف ثالث مثل DefectDojo).
- حدد عتبات شدة مناسبة — أوقف البناء عند مستوى CRITICAL وHIGH، لكن سجّل MEDIUM وLOW للمراجعة.
- خزّن قواعد بيانات الثغرات مؤقتًا (يدعم Trivy وGrype هذا) لتجنب تنزيلها في كل تشغيل.
- شغّل المجموعة الكاملة على طلبات السحب، لكن الفحوصات المانعة فقط على main لتحقيق التوازن بين الأمان وسرعة المطورين.
الخاتمة
لا يوجد ماسح أمان CI/CD واحد “أفضل” — فقط الماسح الأفضل لسياقك المحدد. تتفوق كل من الأدوات الأربع التي قارناها في مجال مختلف:
- Trivy هو أفضل ماسح شامل للفرق التي تريد تغطية واسعة بتكلفة صفرية وتكوين أدنى.
- Grype هو الخيار الأفضل للمؤسسات التي تبني سير عمل أمان يركز على SBOM وتريد ماسح ثغرات مركّز وقابل للتركيب.
- Snyk هو الخيار الأفضل للفرق التي تعطي الأولوية لتجربة المطور والمعالجة التلقائية وترغب في الاستثمار في أدوات تجارية.
- Checkov هو الخيار الأفضل للمؤسسات التي يكون فيها أمان البنية التحتية كرمز والامتثال هو الاهتمام الأساسي.
المبدأ الأهم هو هذا: أفضل ماسح هو الذي يستخدمه فريقك فعليًا بشكل مستمر. خط أنابيب متعدد الأدوات مكوّن بشكل مثالي لكن يعطله المطورون لأنه بطيء جدًا أو مزعج جدًا يوفر قيمة أمنية صفرية. ابدأ بأداة واحدة تعالج الفجوة الأكثر أهمية لديك، واضبطها لتقليل الإيجابيات الكاذبة، وأضف طبقات مع نضوج برنامج الأمان الخاص بك.
لمعظم الفرق التي تبدأ من الصفر، نوصي بالبدء بـ Trivy لاتساعه ونقطة دخوله المجانية، ثم إضافة Checkov بمجرد نمو بصمة IaC الخاصة بك. من هناك، قيّم ما إذا كان Grype (لسير عمل SBOM) أو Snyk (لتجربة المطور والإصلاحات التلقائية) يسد الفجوات المتبقية في خط أنابيبك.
فحص الأمان ليس إعدادًا لمرة واحدة — إنه ممارسة مستمرة. اختر أدواتك وادمجها بتمعّن وكرّر. ستشكرك نفسك المستقبلية.
