SDLC، وأمن سلسلة التوريد والامتثال خارج GitHub

جميع المشاركات

دورون بيري

تستخدم أغلب مؤسسات البرمجيات منصات متعددة لإدارة التعليمات البرمجية والبناء والتسجيل والتسليم والنشر. ويتطلب التحكم في أمان دورة حياة تطوير البرمجيات وسلسلة توريد البرمجيات منصة موحدة تمتد إلى ما هو أبعد من قدرات GitHub الأصلية. وتتطلب إدارة المخاطر الفعّالة إمكانية تتبع واضحة وحوكمة من التعليمات البرمجية إلى السحابة - مما يضمن ربط كل صورة حاوية وقطعة أثرية تم إصدارها بمصدرها.

تستخدم المؤسسات أدوات متنوعة لتطوير التطبيقات بشكل آمن. وهذا يخلق الحاجة إلى إدارة مخرجاتها والتصديق عليها كجزء من عملية تطوير آمنة (كما هو مطلوب بموجب الأمر التنفيذي 14144). ويشمل هذا التصديق أدلة مثل SBOMs ونتائج التدابير الأمنية مثل فحص مراجعة التعليمات البرمجية وتوقيع القطع الأثرية وعزل البناء والتقاط المنشأ.

التطبيقات الحديثة معقدة، وغالبًا ما تتضمن العديد من القطع الأثرية مثل صور الحاويات والإصدارات المركبة. إن إدارة دورة حياة تطوير البرمجيات وأمان سلسلة التوريد على مستوى المنتج والإصدار والإصدار أمر ضروري لتوليد الشهادات اللازمة وتحليل المخاطر.

تعالج شركة Scribe Security هذه التحديات من خلال تقديم:

تنفيذ السياسات السياقية

  • يتم تطبيق سياسات الأمان المخصصة كعناصر تحكم مغلقة في الخطوات الحرجة - الترميز والبناء والنشر - لضمان تطبيق تدابير الأمان المطلوبة طوال عملية التطوير.
  • يتم إدارة سياسات Scribe ككود عبر GitOps، مما يوفر كتالوجًا يحتوي على 150 سياسة أمان مبنية مسبقًا ومرتبطة بأطر الامتثال التي يمكن تقسيمها وتخصيصها وتوسيعها.
  • يتم التحكم في هذه السياسات من خلال الإصدارات، مما يضمن بقائها خالية من العبث وتطبيقها بشكل متسق عبر SDLC بالكامل.

مقارنة GitHub:

  • خيارات الإعداد: يقدم GitHub إعدادات الأمان (حماية الفرع، المراجعات المطلوبة، المسح السري، وما إلى ذلك) التي يمكن تكوينها لكل مستودع أو منظمة.
  • حدود النطاق: على الرغم من أن لوحات معلومات GitHub (على سبيل المثال، نظرة عامة على الأمان) توفر الرؤية، إلا أنها لا تفرض سياسات عبر SDLC بالكامل.

النزاهة

  • يوفر Scribe توقيع التعليمات البرمجية والقطع الأثرية، مع التحقق من الصحة عند بوابات متعددة (على سبيل المثال، التحكم في البناء والقبول).
  • تدعم المنصة التوقيع باستخدام المفاتيح التي يديرها العميل باستخدام تكاملات PKI وSigstore.

مقارنة GitHub:

  • شهادات القطع الأثرية:يمكن لـ GitHub Actions إنشاء شهادات تلتقط مصدر البناء ويتم توقيعها باستخدام Sigstore. 
  • يعتمد على التكوين:يتطلب هذا إعدادًا متعمدًا ولا يدعم التوقيع باستخدام مفاتيح يديرها العميل والتحقق من الصحة في نقاط تحقق متعددة.

الامتثال وضمان سلسلة التوريد

  • يقوم Scribe باستمرار بإنشاء شهادات قابلة للقراءة آليًا تتوافق مع الأطر مثل SLSA واللوائح مثل EO 14144.
  • تلتقط شهادات الأمان المتكاملة الأدلة من عملية التطوير ويمكن تجميعها على مستويات القطع الأثرية والمنتج والإصدار للتدقيق والامتثال.

مقارنة GitHub:

  • منشأ القطع الأثرية ومواقعها على شبكة الإنترنت: يدعم GitHub مصدر البناء ويمكنه تصدير بيانات SBOM، ولكن تعمل هذه الميزات على مستوى المستودع أو القطعة الأثرية وتتطلب التجميع اليدوي لإعداد التقارير على مستوى المؤسسة.

تحليل المخاطر

  • يقوم Scribe بتقييم المخاطر بشكل مستمر عبر SDLC من خلال اكتشاف نقاط الضعف، وتحديد خروقات السلامة، ووضع علامة على أحمال العمل اليتيمة، ومراقبة انتهاكات سياسة SDLC.
  • يوفر تحليل المخاطر المتكامل هذا رؤى قابلة للتنفيذ لتحديد أولويات العلاج.

GitHub جيثب: مقارنة:

  • تنبيهات الثغرات الأمنية: يوفر GitHub تنبيهات من خلال أدوات مثل Dependabot وCodeQL، ولكن بيانات المخاطر غالبًا ما تكون معزولة في مستودع بدون تحليل متكامل لقضايا السياسة أو النزاهة الأوسع.

الاكتشاف المستمر وتوليد السلالة

  • يقوم Scribe بأتمتة اكتشاف أصول التطوير وإنشاء سلالات واضحة من التعليمات البرمجية إلى السحابة مع تحديد أحمال العمل الإنتاجية اليتيمة التي تفتقر إلى إمكانية التتبع.

مقارنة GitHub:

  • لوحات معلومات الأمان: توفر نظرة عامة على الأمان في GitHub رؤى حول الثغرات الأمنية والتكوينات عبر المستودعات.
  • الاكتشاف المحدود: لا يقوم GitHub تلقائيًا باكتشاف جميع أصول التطوير أو تقديم سلسلة متكاملة من الكود إلى السحابة.

الملخص

على الرغم من أن GitHub يوفر مجموعة من ميزات الأمان، إلا أنها غالبًا ما تتطلب تكوينًا يدويًا وتفتقر إلى الإشراف الموحد والمستمر عبر SDLC بالكامل. يملأ Scribe Security هذه الفجوات من خلال توفير رؤية شاملة، وإنفاذ السياسات السياقية، والشهادات المتكاملة، وتحليل المخاطر الشامل عبر دورة حياة البرنامج.

بالطبع، تقتصر ميزات الأمان الخاصة بـ GitHub على GitHub، بينما يغطي Scribe Security جميع منصات DevOps وأدوات CI/CD.

يتم تقديم هذا المحتوى إليك بواسطة Scribe Security، وهي شركة رائدة في مجال توفير حلول أمان سلسلة توريد البرامج الشاملة - حيث توفر أحدث الأمان لعناصر التعليمات البرمجية وعمليات تطوير التعليمات البرمجية وتسليمها عبر سلاسل توريد البرامج. تعرف على المزيد.

الوظائف ذات الصلة

صورة تمثل الرسم البياني للتبعية
الرسم البياني لتبعية CycloneDX SBOM – ما هو المفيد؟

لقد سمعنا جميعًا الكثير عن SBOMs مؤخرًا. وسمعنا عن فائدتها وتكوينها ومتطلباتها من حيث الأمن والتنظيم. هذه المرة أريد أن أخصص بعض الوقت للحديث عن جزء أقل شهرة من CyclonDX SBOM - رسم التبعية. على عكس الاسم الذي يشير إلى أن الرسم البياني للتبعية ليس […]

صورة توضح OpenSSL
قصة تصحيح OpenSSL 3.0.7 والدروس التي يمكنك تعلمها منه

OpenSSL هي مكتبة برمجيات مفتوحة المصدر واسعة الاستخدام لتنفيذ الاتصالات الآمنة عبر شبكات الكمبيوتر. كيف تستخدم على نطاق واسع؟ حسنًا، من المحتمل أنك إذا قمت بالوصول إلى صفحة ويب HTTPS، فقد قمت بذلك عبر تشفير OpenSSL. توفر المكتبة وظائف وبروتوكولات التشفير لتشفير البيانات وفك التشفير والمصادقة والتحقق من التوقيع الرقمي. يمكن أن يكون OpenSSL […]

صورة توضح الكود المعتمد
استخدام هجوم تطبيق سطح المكتب 3CX لتوضيح أهمية التوقيع والتحقق من البرامج

في أواخر مارس 2023، كشف باحثون أمنيون عن هجوم معقد لسلسلة التوريد البرمجية لأحد الجهات الفاعلة على برامج الاتصالات التجارية من 3CX، وبشكل أساسي تطبيق سطح المكتب للاتصال الصوتي والفيديو الخاص بالشركة. وحذر الباحثون من أن التطبيق تعرض بطريقة ما لفيروس طروادة وأن استخدامه قد يعرض المنظمة لمخطط تسرب محتمل من قبل جهة تهديد. […]

المشاركات الأكثر شعبية
كيف تعمل حواجز الحماية الخاصة بسياسة الكود من Scribe Security على الحد من مخاطر SDLC التي يقدمها جميع أنواع المطورينالتعاون مع NCCoE لتعزيز سلسلة توريد البرمجيات وأمن DevOpsSDLC، وأمن سلسلة التوريد والامتثال خارج GitHubفهم وتنفيذ الأمر التنفيذي الفيدرالي الجديد رقم 14144 بشأن أمن البرمجيات: دليل عملي
الأقسام