خريجو In-Toto إلى CNCF: تأمين سلسلة توريد البرمجيات بسهولة

جميع المشاركات

داني نيبينزال

ما هو in-toto وكيف يحمي سلسلة توريد البرمجيات؟

تطبيقات الكمبيوتر هجمات سلسلة التوريد، مثل تلك التي شوهدت في السنوات الأخيرة - 3CX وCodecov وSolarwinds - سلطت الضوء على هشاشة خطوط أنابيب التطوير التقليدية. واستجابةً لذلك، طوّر مجتمع المصادر المفتوحة في المجموع، إطار عمل لضمان النزاهة في كل خطوة من خطوات تسليم البرامج. يُنشئ In-toto سجل قابل للتحقق من دورة حياة تطوير البرمجيات بأكملها من مرحلة البرمجة الأولية وحتى النشر النهائي، نضمن تنفيذ كل خطوة من قِبل الجهات المُصرّح لها بالترتيب الصحيح. من خلال إرفاق التوقيعات التشفيرية والبيانات الوصفية ("الشهادات") بكل مرحلة من مراحل عملية البناء، يجعل نظام "in-toto" من المستحيل تقريبًا على أي مُهاجم إدخال تغييرات ضارة دون أن يُلاحظها. هذا النهج الشامل يمنع العبث، ويكتشف التعديلات غير المصرح بها، ويثبت المصدر من كل مكون في برنامجك، مما يقلل بشكل كبير من خطر الخروقات المكلفة.

تتضمن الفوائد الرئيسية لـ in-toto ما يلي:

  • السلامة من البداية إلى النهاية: يتم توقيع كل إجراء في خط أنابيب CI/CD وتسجيله، حتى تتمكن من التحقق من ذلك فقط العمليات الموثوقة التي تُنفَّذ في كل خطوة. إذا طرأ أي تغيير أو خلل في السلسلة، فسيكتشفه نظام in-toto. 
  • مقاومة العبث: تضمن شهادات In-toto أنه في حالة العبث بقطعة أثرية أو مكون بناء، سيكون لديك دليل تشفيري على عدم التطابق، مما يحبط هجمات سلسلة التوريد قبل وصولها إلى المستخدمين. 
  • الامتثال والشفافية: من خلال تسجيل من فعل ماذا (ومتى)، يعزز نظام "in-toto" الامتثال لمعايير ولوائح الأمن السيبراني المتطورة. ويتماشى مع مبادرات مثل فواتير مواد البرمجيات (SBOMs) وأطر عمل مثل SLSA (مستويات سلسلة التوريد لمنتجات البرمجيات) التي تتطلب شفافية أكبر في سلسلة التوريد. 
  • الثقة والموثوقية: مع in-toto، يمكن للمنظمات إثبات النزاهة برمجياتهم للعملاء والمدققين. يأتي كل إصدار مصحوبًا بدليل على أنه صُمم بطريقة آمنة وموثوقة، مما يزيد الثقة في موثوقيته. 

عمليًا، يعني اعتماد "in-toto" إدخال فحوصات أمنية طوال عملية التطوير. على سبيل المثال، تُنشئ خطوة البناء ملف "رابط" مُوقّع يُوثّق مُدخلات تلك الخطوة (كود المصدر، والتبعيات) ومخرجاتها (الصور، والحاويات، والملفات الثنائية). تتحقق الخطوات اللاحقة من هذه الروابط قبل المتابعة. بهذه الطريقة، إذا حاول مُهاجم حقن شيفرة ضارة أو استخدام مُكوّن غير مُعتمد، فقد يُؤدي التوقيع المفقود أو غير الصحيح إلى إيقاف خط الأنابيب. والنتيجة هي سلسلة الحراسة للبرمجيات - مثل تتبع المكونات في الوصفة - مما يضمن عدم إضافة أي شيء غير معروف أو غير مصرح به إلى منتجك النهائي.

في المجمل: من المشروع الأكاديمي إلى الإطار المتطور

في نيسان (أبريل) 23 ، 2025 ، لقد وصلت في مجملها إلى معلم رئيسي: القادم أعلنت مؤسسة الحوسبة السحابية الأصلية (CNCF) عن تخرجها بالكامل إلى أعلى مستوى نضج كمشروع مفتوح المصدر. شهادة تخرج CNCF مخصصة للمشاريع التي أثبتت استقرارها وتبنيها ودعم المجتمع لها. بدأت رحلة In-toto كمشروع بحثي في ​​كلية الهندسة بجامعة نيويورك تاندون، وهي الآن "تطورت إلى معيار صناعي" لأمن سلسلة التوريد. ووفقًا لجاستن كابوس، أستاذ جامعة نيويورك الذي ساهم في إنشاء "إن توتو"، فإن هذا الإنجاز يؤكد صحة النهج الرائد لشركة in-toto يتناول هذا الكتاب أهمية أمن البرمجيات ويوضح تأثيرها الحقيقي في مكافحة التهديدات الحديثة.

إذًا، ما الذي يجعل "in-toto" إطارًا متطورًا وناضجًا اليوم؟ أولًا، يتمتع بدعم قوي و اعتماد واسع النطاقيُستخدم In-toto بالفعل في الإنتاج من قِبل شركات مثل SolarWinds، وهو مُدمج في معايير الصناعة مثل OpenVEX وإطار عمل SLSA من Google. في الواقع، وصلت مواصفات In-toto إلى الإصدار 1.0 في عام 2023، مما يعكس إجماع المجتمع على استقراره. كما استفاد الإطار من دعم وكالات بحثية رئيسية (بما في ذلك NSF وDARPA)، مما يضمن استمرار الابتكار.

مع تزايد هجمات سلسلة توريد البرمجيات، فإن توقيت نضج in-toto هو الوقت المثالي. "مع تزايد حجم وتعقيد تهديدات سلسلة توريد البرامج، يتيح برنامج in-toto للمؤسسات التحقق بثقة من سير عمل التطوير لديها، مما يقلل المخاطر ويمكّن من الامتثال ويسرع في نهاية المطاف الابتكار الآمن." قال كريس أنيسزيك، الرئيس التنفيذي للتكنولوجيا في CNCF: "يشير تخرج In-toto إلى أن الإطار مُختبر وجاهز للاستخدام على أكمل وجه. بالنسبة لمديري أمن المعلومات وقادة DevSecOps، فهذا يعني أن هناك الآن... حل مثبت ومعتمد من المجتمع لتطبيق مبادئ الثقة الصفرية في مسار التطوير. السؤال التالي هو: كيف تتبنى "in-toto" في مؤسستك؟ بكفاءة وبدون احتكاك?

تنفيذ In-Toto بسلاسة مع ScribeHub وValint

بينما يوفر نظام "in-toto" مخططًا شاملاً لأمن سلسلة التوريد، إلا أن تنفيذه من الصفر قد يكون معقدًا. ستحتاج المؤسسات إلى تجهيز خطوط أنابيب CI/CD الخاصة بها لتوليد شهادات التشفير والتحقق منها في كل خطوة، وإدارة مفاتيح التشفير أو استخدام Sigstore، وتخزين جميع البيانات الوصفية، وتحديد قواعد السياسات، ودمج بوابات الأعطال - كل ذلك دون إبطاء عمل المطورين. الحل الأفضل لتحقيق ذلك بسلاسة هو استخدام منصة تم إنشاؤها خصيصًا لهذه الوظيفة. توفر منصة "ScribeHub" من Scribe Security، إلى جانب أداة Valint الخاصة بها، طريقة سلسة لتضمين مبادئ in-toto في SDLC الخاص بك.

سكرايب هب منصة شاملة لأمن سلسلة توريد البرمجيات، تُؤتمت عمليات التحقق من السلامة والامتثال في جميع أنحاء مصنع البرمجيات، بدءًا من التطوير وحتى النشر. تعتمد هذه المنصة نهجًا قائمًا على مبدأ الأمان من حيث التصميم، وعدم الثقة المطلقة. أتمتة الشهادات المقروءة آليا والتطبيق بوابات "حواجز الحماية حسب الكود" طوال خط الأنابيب. في جوهره، يتكامل ScribeHub مع أدوات التطوير وبيئة السحابة لديك لتسجيل أدلة مستمرة لما يحدث في كل عملية بناء، فرض سياسات الأمان دون تدخل يدوي. ومن المهم أن نهج Scribe مبني على تقليل الاحتكاك مع فرق التطويرمن خلال دمج الأمان في خط الأنابيب (بدلاً من إضافة مراجعات خارج النطاق أو خطوات إضافية للمطورين)، يضمن ScribeHub الأمن مستمر وشفافيمكن للمطورين الحفاظ على وتيرة عملهم السريعة والرشيقة، بينما يعمل Scribe خلف الكواليس لاكتشاف الشذوذ وضمان أن يكون كل إصدار جديرًا بالثقة.

في قلب هذا هو فالينت - أداة التحقق من سلامة البيانات من Scribe Security. Valint هو محرك قوي لـ CLI والسياسات يوفر للمؤسسات طريقة لفرض سياسات الأمان "باستخدام مفهوم بسيط للتوقيع والتحقق من البيانات." في الواقع، فالينت لتقف على التحقق + النزاهةيُنشئ ويتحقق من الأدلة التشفيرية اللازمة لإثبات سلامة برنامجك. كما يُمكنه إنتاج والتحقق من الشهادات (الأدلة الرقمية) لجميع أنواع منتجات البرمجيات: أدلة الكود المصدري، والملفات الفردية، وصور الحاويات، وحتى مستودعات Git بأكملها. يُمكنك تشغيل Valint كواجهة سطر أوامر مستقلة ضمن خط أنابيب تكامل النظام (CI) أو استخدامه كجزء من خدمة ScribeHub المُدمجة. وفي كلتا الحالتين، يُطبّق Valint الفكرة الأساسية المتمثلة في بيانات سلسلة التوريد المُوقّعة والقابلة للتحقق (in-toto) بشكل عملي وسهل.

تحت غطاء محرك السيارة، تستفيد شركة Valint من أفضل التقنيات الحديثة في مجال أمن سلسلة التوريديعتمد الإصدار الأحدث من Valint على أطر عمل مثل SLSA للمصدر, OPA لإنفاذ السياسات, Sigstore للتوقيع بدون مفتاحويستخدم سجلات OCI لتخزين الشهادات. بمعنى آخر، جمعت Scribe ترسانة من المعايير المفتوحة لضمان متانة الشهادات والفحوصات في خط الأنابيب الخاص بك وتوافقها مع بعضها البعض. على سبيل المثال، يمكن لمنصة Scribe إجراء التوقيع المستمر على الكود وتتبع المصدر باستخدام شهادات in-toto - كل ذلك يساعد إحباط هجمات التلاعب قبل أن تؤثر على برنامجك.

إذن، كيف يعمل هذا في خط أنابيب CI/CD حقيقي؟ يتكامل ScribeHub مباشرةً مع نظام البناء الخاص بك (سواءً كان Jenkins أو GitHub Actions أو GitLab، إلخ) التقاط الشهادات الموقعة والقابلة للتحقق آليًا في كل مرحلة من التطوير. منذ لحظة التزام المطور بالشفرة البرمجية، يمكن لأداة Valint من Scribe تسجيل بيان مُوَقَّع لهذا الالتزام. مع مرور الشفرة البرمجية بمراحل البناء والاختبار والنشر، تُولِّد كل خطوة تصديقها الخاص (على سبيل المثال، "تم الانتهاء من البناء باستخدام هذه المدخلات، مما أدى إلى إنتاج هذه القطعة الأثرية، في هذا الوقت، من خلال هذه العملية، الموقعة بالمفتاح X"تُخزَّن هذه الشهادات بطريقةٍ غير قابلةٍ للتلاعب (مثل سجلّ آثار OCI أو مخزن أدلة Scribe) للتدقيق لاحقًا. والأهم من ذلك، أنها تم التحقق من صحتها على الفور ضد سياسات الأمان الخاصة بك. يسمح ScribeHub لفرق الأمان بتحديد سياسات (كود) تصف الظروف المتوقعة لخط الأنابيب - على سبيل المثال، "يجب أن يتم توقيع جميع القطع الأثرية بواسطة خدمة البناء الخاصة بنا" or "لا يجوز نشر أي حاوية إذا كانت تحتوي على ثغرات أمنية حرجة معروفة علنًا بأنها قابلة للاستغلال (KEV)." يتم تنفيذ هذه السياسات في الوقت الحقيقي. مع كل شهادة أو SBOM يتم إنشاؤها، يتحقق Valint من ذلك، ويتحقق محرك سياسة ScribeHub (المدعوم بواسطة OPA) للامتثال.

إذا كان كل شيء على ما يرام، فسيستمر خط الأنابيب دون انقطاع. في حال اكتشاف أي انتهاك، يمكن لـ ScribeHub "منع" الإصدار عن طريق إيقاف خط الأنابيب أو الإشارة إلى المشكلة للمراجعة. على سبيل المثال، إذا كان التوقيع المتوقع أو شهادة البناء مفقودة، أو إذا كانت دالة تجزئة القطعة الأثرية لا تتطابق مع ما ينبغي أن تكون عليه، فسيكتشفها Scribe. قبل أن يتم ترقية هذا البناءتعمل هذه الحواجز الآلية كبوابات للجودة: يتم التعامل مع الشهادة المفقودة أو غير الصحيحة على أنها فحص فاشل، وبالتالي فإن البناء المحفوف بالمخاطر لا يصل إلى مرحلة الإنتاج أبدًاعمليًا، قد يعني هذا فشل مهمة البناء مع رسالة خطأ واضحة، أو إنشاء تذكرة JIRA تلقائيًا لفريق الأمان، وذلك حسب كيفية تكوين الاستجابة. يضمن هذا النهج يتم تنفيذ سياسة سلسلة توريد البرامج تلقائيًا من خلال الكود، وليس من خلال المراجعات اليدوية بعد وقوع الحدثكما يقول الرئيس التنفيذي لشركة سكرايب، لا يُمكن الاعتماد على الناس في تذكر السياسات عند شحن ١٠ إصدارات يوميًا... يجب دمج القواعد في العملية وتطبيقها من قِبل خط الأنابيب..

من خلال دمج شهادات in-toto والتحقق الآلي من السياسات، يوفر ScribeHub بشكل أساسي نظام المناعة لدورة حياة SDLC الخاصة بك. يتحقق من سلامة ومصدر كل مكون، وهو يمنع أي انتهاكات يمكن أن تؤدي إلى اختراق سلسلة توريد البرامجعلى سبيل المثال، إذا تسللت برمجيات خبيثة بطريقة ما إلى أحد التبعيات، أو سُرقت بيانات اعتماد أحد المطورين لتوقيع إصدار ضار، فإن وجود دليل غير طبيعي (أو عدم وجود دليل متوقع) سيؤدي إلى تفعيل عناصر تحكم Scribe، مما يؤدي إلى إيقاف الإصدار وتنبيه فريقك. هذا يمنح مسؤولي أمن المعلومات، وقادة أمن المنتجات، وممارسي DevSecOps راحة البال. يتم نشر الكود الآمن والمعتمد فقطدون الحاجة إلى مراجعة كل تغيير شخصيًا. وبفضل الأتمتة والتكامل، يحدث كل هذا بأقل تأثير على سرعة التطوير. الأمن متأصل ولكن ليس معرقلاً.

هل أنت مستعد لرؤية أمان المنتج الحقيقي في العمل؟

إن تخرج In-toto وظهور أدوات مثل ScribeHub يشير إلى أن أمن المنتج الحقيقي - النوع الذي يضمن سلامة سلسلة التوريد الشاملة - لم يعد هدفًا بعيد المنال، بل أصبح هدفًا قابلًا للتحقيق اليوم. يستفيد مديرو أمن المعلومات، ومسؤولو أمن المنتجات، وممارسو DevSecOps ذوو الرؤية المستقبلية من هذه الحلول لحماية مؤسساتهم والامتثال للأنظمة الجديدة. إذا كنت مهتمًا بتعزيز مصنع برمجياتك دون زيادة احتكاك المطورين، ندعوك للتواصل مع Scribe Security للحصول على عرض توضيحي. شاهد بنفسك كيف يمكن لمبادئ in-toto، التي تم تنفيذها من خلال ScribeHub وValint، أن تحول SDLC الخاص بك إلى عملية مقاومة للتلاعب وشفافة ومتوافقة. اتصل بنا لاستكشاف العرض التوضيحي المباشر واتخذ الخطوة التالية نحو سلسلة توريد برمجيات آمنة وموثوقة حقًا. يمكن لمطوري برامجك مواصلة الابتكار بأقصى سرعة، وستنعم براحة البال وأنت تعلم أن كل عملية بناء محمية بأحدث معايير أمان سلسلة التوريد. نود أن أعرض لكم كيف يعمل!

يتم تقديم هذا المحتوى إليك بواسطة Scribe Security، وهي شركة رائدة في مجال توفير حلول أمان سلسلة توريد البرامج الشاملة - حيث توفر أحدث الأمان لعناصر التعليمات البرمجية وعمليات تطوير التعليمات البرمجية وتسليمها عبر سلاسل توريد البرامج. تعرف على المزيد.

الوظائف ذات الصلة

صورة توضح الكود المعتمد
استخدام هجوم تطبيق سطح المكتب 3CX لتوضيح أهمية التوقيع والتحقق من البرامج

في أواخر مارس 2023، كشف باحثون أمنيون عن هجوم معقد لسلسلة التوريد البرمجية لأحد الجهات الفاعلة على برامج الاتصالات التجارية من 3CX، وبشكل أساسي تطبيق سطح المكتب للاتصال الصوتي والفيديو الخاص بالشركة. وحذر الباحثون من أن التطبيق تعرض بطريقة ما لفيروس طروادة وأن استخدامه قد يعرض المنظمة لمخطط تسرب محتمل من قبل جهة تهديد. […]

صورة
من الفوضى إلى الوضوح: كيفية تأمين سلسلة التوريد الخاصة بك بالشهادات

نظرًا لأن الجميع أصبحوا أكثر وعيًا بشكل تدريجي، يجب أن تكون حماية سلاسل توريد البرامج الخاصة بك جزءًا حيويًا من استراتيجية الأمن السيبراني لكل مؤسسة. إحدى الصعوبات الرئيسية في إنشاء استراتيجية شاملة للتخفيف من تهديدات سلسلة توريد البرمجيات هي تعقيد وتنوع سلاسل التوريد. كل سلسلة توريد فريدة من نوعها، والعناصر […]

صورة لرقعة الشطرنج
ما الذي تغير في إطار عمل الأمن السيبراني NIST 2.0 ولماذا يجب أن تهتم؟

في أوائل أغسطس، أصدر المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) مسودة نسخة 2.0 من إطار عمل الأمن السيبراني البارز، والذي نُشر لأول مرة في عام 2014. لقد تغير الكثير على مدى السنوات العشر الماضية، وليس أقلها المستوى المتزايد من الأمن السيبراني. تهديدات الأمن السيبراني التي حددتها الوثيقة الأصلية لمساعدة الحرجة [...]

المشاركات الأكثر شعبية
تحقيق الامتثال المستمر للحاويات SP 800–190 مع أمان Scribeخريجو In-Toto إلى CNCF: تأمين سلسلة توريد البرمجيات بسهولةكيف تعمل حواجز الحماية الخاصة بسياسة الكود من Scribe Security على الحد من مخاطر SDLC التي يقدمها جميع أنواع المطورينالتعاون مع NCCoE لتعزيز سلسلة توريد البرمجيات وأمن DevOps
التصنيفات