مخاطر الإنترنت

ما هو الباب الخلفي XZ Utils (CVE-2024-3094)؟ CVE-2024-3094، الذي تم نشره في بداية أبريل 2024، عبارة عن باب خلفي تم إدخاله بشكل ضار في إحدى أدوات Linux المساعدة. تم اكتشافه بواسطة Andres Freund، وهو مهندس برمجيات Microsoft فضولي ومدرك للأمان، وكان على وشك الاندماج في توزيعات Linux الرئيسية. لو نجح هذا، لعدد لا يمكن تصوره من الخوادم […]

مرحبًا بكم مرة أخرى في الجزء الثاني من سلسلة مدونتنا، حيث نتعمق أكثر في القدرات الفعالة لـ Valint. في هذه المقالة، سنركز على محرك سياسة Valint ودوره المحوري في ضمان الامتثال عبر سلسلة التوريد الخاصة بك. في منشور مدونتنا السابق، قدمنا ​​نظرة عامة على مبادئ تصميم Valint. كيف يمكن لمحرك السياسات […]

مع التعقيد المتزايد للتطبيقات وانتشار التهديدات الأمنية، أصبح ضمان أمان التطبيقات البرمجية تحديًا كبيرًا للمؤسسات. تظهر إدارة الوضع الأمني ​​للتطبيقات (ASPM) كحل لهذه التحديات، حيث توفر إطارًا لتحسين الرؤية وإدارة نقاط الضعف وفرض ضوابط الأمان عبر دورة حياة تطوير البرمجيات. ال […]

تفاصيل ما يحدث داخل خطوط أنابيب CI/CD مبهمة بشكل سيئ. على الرغم من كتابة ملف تكوين YAML، وهو قائمة التعليمات، كيف يمكنك التأكد من أن كل شيء يحدث تمامًا كما هو موصوف؟ والأسوأ من ذلك أن غالبية خطوط الأنابيب عابرة تمامًا، لذلك حتى في حالة حدوث عطل، […]

إطار عمل تطوير البرمجيات الآمنة (SSDF)، المعروف أيضًا باسم NIST SP800-218، عبارة عن مجموعة من الإرشادات التي طورتها NIST استجابة للأمر التنفيذي رقم 14028، الذي يركز على تعزيز وضع الأمن السيبراني للولايات المتحدة، لا سيما فيما يتعلق بأمن سلسلة توريد البرمجيات. SSDF هو إطار عمل لأفضل الممارسات، وليس معيارًا. وفي حين أنها ذات أهمية خاصة للمنظمات التي […]

الخلفية SLSA (مستويات سلسلة التوريد للبرامجيات) هي إطار عمل أمني يهدف إلى منع التلاعب، وتحسين السلامة، وتأمين الحزم والبنية التحتية. المفهوم الأساسي لـ SLSA هو أنه لا يمكن الوثوق بالمنتج البرمجي إلا إذا كان يتوافق مع ثلاثة متطلبات: يجب أن يكون للمنتج مستند مصدر يصف أصله وعملية البناء […]

"يجب أن يتحمل بائعو البرمجيات المسؤولية عندما يفشلون في الوفاء بواجب الرعاية الذي يدينون به للمستهلكين أو الشركات أو مقدمي البنية التحتية الحيوية" (البيت الأبيض). اليوم، من المتوقع أن يتحمل أي مزود برامج مسؤولية أكبر لضمان سلامة وأمن البرامج من خلال الاتفاقيات التعاقدية، وإصدارات البرامج وتحديثاتها، والإخطارات، و […]

TL;DR في السنوات الأخيرة، دافعت صناعة التكنولوجيا بقوة عن مفهوم "التحول إلى اليسار" في تطوير البرمجيات، ودعت إلى التكامل المبكر للممارسات الأمنية في دورة حياة التطوير. تهدف هذه الحركة إلى تمكين المطورين من تحمل مسؤولية ضمان أمان التعليمات البرمجية الخاصة بهم منذ بداية المشروع. ومع ذلك، في حين أن النوايا وراء هذا النهج هي […]

لم تستوعب الصناعة بعد فكرة SBOM بشكل كامل، وقد بدأنا بالفعل في سماع مصطلح جديد - ML-BOM - قائمة مواد التعلم الآلي. قبل أن يبدأ الذعر، دعونا نفهم لماذا يجب أن يتم إنتاج مثل هذا BOM، والتحديات في إنشاء ML-BOM، وكيف يمكن أن يبدو مثل ML-BOM. […]

أحد مخاطر سلسلة توريد البرامج هو تسرب الأسرار. الأسرار موجودة في كل مكان حول سلسلة توريد البرمجيات؛ يحتاج المطورون وخطوط أنابيب CI\CD إلى استخدام الأسرار للوصول إلى SCM وخطوط الأنابيب وسجلات العناصر والبيئات السحابية والخدمات الخارجية. وعندما تكون الأسرار في كل مكان، فهي مسألة وقت […]