المجالات

تقدم هذه الصفحة نظرة عامة على أبرز المواضيع التقنية التي يتم تناولها على موقع Secure Pipelines.

يمثل كل موضوع مجالًا أساسيًا من مجالات أمن خطوط CI/CD وأمن سلسلة توريد البرمجيات، ويتضمن مقالات متعمقة، وأدلة إرشادية منظمة، ومختبرات عملية.

أمن CI/CD

يركز هذا الموضوع على تأمين خطوط CI/CD ضد العبث، وسوء الاستخدام، والتغييرات غير المصرح بها.

  • نماذج تنفيذ خطوط CI/CD وحدود الثقة
  • تأمين تعريفات وتكوينات خطوط التسليم
  • الصلاحيات، الهويات، والتحكم في الوصول
  • تعرض الأسرار وسبل حمايتها

أمن سلسلة توريد البرمجيات

يهدف أمن سلسلة توريد البرمجيات إلى ضمان سلامة الاعتماديات وعمليات البناء والمنتجات البرمجية.

  • مخاطر الاعتماديات والثقة العابرة
  • سلامة عمليات البناء والبناء القابل لإعادة الإنتاج
  • مصدر المنتجات البرمجية والبيانات التعريفية (Attestations)
  • إنشاء قوائم مكونات البرمجيات (SBOM) والتحقق منها

تحصين خطوط التسليم

يغطي هذا الموضوع التقنيات المستخدمة لتعزيز بيئات تنفيذ خطوط التسليم.

  • عزل الـ Runners ووكلاء البناء
  • قيود الشبكة ونظام الملفات
  • نماذج التنفيذ القائمة على مبدأ أقل امتياز
  • تحصين الـ Runners المشتركة والمستضافة ذاتيًا

GitHub Actions

يركز هذا الموضوع على تأمين تدفقات العمل المبنية باستخدام GitHub Actions.

  • صلاحيات تدفقات العمل ونطاق الرموز (Tokens)
  • تأمين الإجراءات التابعة لجهات خارجية
  • أمن الـ Runners وعزلها
  • الأخطاء الشائعة في الإعداد والمخاطر المرتبطة بها

GitLab CI

يتناول هذا الموضوع اعتبارات الأمان الخاصة بـ GitLab CI/CD.

  • أمن خطوط التسليم والمهام (Jobs)
  • تكوين الـ Runners وعزلها
  • إدارة الأسرار في خطوط GitLab
  • تدفقات نشر آمنة

التهديدات والهجمات

يُعد فهم كيفية استهداف خطوط CI/CD أمرًا أساسيًا لتمكين الدفاع عنها بفعالية.

  • مسارات الهجوم الشائعة على CI/CD
  • تقنيات الهجوم على سلسلة التوريد
  • إساءة استخدام صلاحيات خطوط التسليم
  • استراتيجيات الكشف والتخفيف من المخاطر

Policy as Code

يتيح مفهوم Policy as Code تطبيق ضوابط أمان آلية وقابلة للتنفيذ داخل خطوط CI/CD.

  • مبادئ تصميم السياسات
  • استخدام OPA للتحقق من صحة خطوط التسليم
  • التحقق من التكوينات وتدفقات العمل
  • أنماط فرض آمنة (Fail-safe)

كيفية استخدام المواضيع

يمكن استكشاف المواضيع بشكل مستقل، أو استخدامها كنقاط دخول إلى محتوى أكثر تنظيمًا.

يرتبط كل موضوع بما يلي:

  • مقالات ذات صلة
  • أدلة إرشادية متعمقة
  • مختبرات عملية

تشكل هذه المواضيع مجتمعة رؤية شاملة لأمن خطوط CI/CD وأمن سلسلة توريد البرمجيات.

النظام البيئي المرتبط

للجوانب المتعلقة بالامتثال والحوكمة والمتطلبات التنظيمية في DevSecOps و CI/CD، يرجى زيارة regulated-devsecops.com.

يركز Secure Pipelines على التنفيذ التقني، بينما يركز Regulated DevSecOps على الحوكمة وقابلية التدقيق.