مخاطر الإنترنت

في المشهد الرقمي اليوم، يعد أمان البرامج أمرًا بالغ الأهمية. قامت وكالة الأمن القومي (NSA)، بالتعاون مع وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، بوضع مبادئ توجيهية شاملة لإدارة قائمة مواد البرمجيات (SBOM). تعتبر هذه الإرشادات ضرورية للمؤسسات التي تهدف إلى تعزيز وضع الأمن السيبراني لديها وتخفيف المخاطر في سلسلة توريد البرامج الخاصة بها. لماذا […]

في المشهد الرقمي المترابط اليوم، يعد ضمان أمان سلسلة توريد البرامج أمرًا بالغ الأهمية. تشمل سلسلة توريد البرامج جميع العمليات والمكونات المشاركة في تطوير البرامج وإنشائها ونشرها، وهي مستهدفة بشكل متزايد بالهجمات الإلكترونية. بعد أن عملت مع العديد من الشركات واستفدت من خبرتي الواسعة في هذا المجال، يمكنني بثقة مشاركة بعض من […]

ما هو الباب الخلفي XZ Utils (CVE-2024-3094)؟ CVE-2024-3094، الذي تم نشره في بداية أبريل 2024، عبارة عن باب خلفي تم إدخاله بشكل ضار في إحدى أدوات Linux المساعدة. تم اكتشافه بواسطة Andres Freund، وهو مهندس برمجيات Microsoft فضولي ومدرك للأمان، وكان على وشك الاندماج في توزيعات Linux الرئيسية. لو نجح هذا، لعدد لا يمكن تصوره من الخوادم […]

مرحبًا بكم مرة أخرى في الجزء الثاني من سلسلة مدونتنا، حيث نتعمق أكثر في القدرات الفعالة لـ Valint. في هذه المقالة، سنركز على محرك سياسة Valint ودوره المحوري في ضمان الامتثال عبر سلسلة التوريد الخاصة بك. في منشور مدونتنا السابق، قدمنا ​​نظرة عامة على مبادئ تصميم Valint. كيف يمكن لمحرك السياسات […]

مع التعقيد المتزايد للتطبيقات وانتشار التهديدات الأمنية، أصبح ضمان أمان التطبيقات البرمجية تحديًا كبيرًا للمؤسسات. تظهر إدارة الوضع الأمني ​​للتطبيقات (ASPM) كحل لهذه التحديات، حيث توفر إطارًا لتحسين الرؤية وإدارة نقاط الضعف وفرض ضوابط الأمان عبر دورة حياة تطوير البرمجيات. ال […]

تفاصيل ما يحدث داخل خطوط أنابيب CI/CD مبهمة بشكل سيئ. على الرغم من كتابة ملف تكوين YAML، وهو قائمة التعليمات، كيف يمكنك التأكد من أن كل شيء يحدث تمامًا كما هو موصوف؟ والأسوأ من ذلك أن غالبية خطوط الأنابيب عابرة تمامًا، لذلك حتى في حالة حدوث عطل، […]

إطار عمل تطوير البرمجيات الآمنة (SSDF)، المعروف أيضًا باسم NIST SP800-218، عبارة عن مجموعة من الإرشادات التي طورتها NIST استجابة للأمر التنفيذي رقم 14028، الذي يركز على تعزيز وضع الأمن السيبراني للولايات المتحدة، لا سيما فيما يتعلق بأمن سلسلة توريد البرمجيات. SSDF هو إطار عمل لأفضل الممارسات، وليس معيارًا. وفي حين أنها ذات أهمية خاصة للمنظمات التي […]

الخلفية SLSA (مستويات سلسلة التوريد للبرامجيات) هي إطار عمل أمني يهدف إلى منع التلاعب، وتحسين السلامة، وتأمين الحزم والبنية التحتية. المفهوم الأساسي لـ SLSA هو أنه لا يمكن الوثوق بالمنتج البرمجي إلا إذا كان يتوافق مع ثلاثة متطلبات: يجب أن يكون للمنتج مستند مصدر يصف أصله وعملية البناء […]

"يجب أن يتحمل بائعو البرمجيات المسؤولية عندما يفشلون في الوفاء بواجب الرعاية الذي يدينون به للمستهلكين أو الشركات أو مقدمي البنية التحتية الحيوية" (البيت الأبيض). اليوم، من المتوقع أن يتحمل أي مزود برامج مسؤولية أكبر لضمان سلامة وأمن البرامج من خلال الاتفاقيات التعاقدية، وإصدارات البرامج وتحديثاتها، والإخطارات، و […]

TL;DR في السنوات الأخيرة، دافعت صناعة التكنولوجيا بقوة عن مفهوم "التحول إلى اليسار" في تطوير البرمجيات، ودعت إلى التكامل المبكر للممارسات الأمنية في دورة حياة التطوير. تهدف هذه الحركة إلى تمكين المطورين من تحمل مسؤولية ضمان أمان التعليمات البرمجية الخاصة بهم منذ بداية المشروع. ومع ذلك، في حين أن النوايا وراء هذا النهج هي […]