المقالات

تفاصيل ما يحدث داخل خطوط أنابيب CI/CD مبهمة بشكل سيئ. على الرغم من كتابة ملف تكوين YAML، وهو قائمة التعليمات، كيف يمكنك التأكد من أن كل شيء يحدث تمامًا كما هو موصوف؟ والأسوأ من ذلك أن غالبية خطوط الأنابيب عابرة تمامًا، لذلك حتى في حالة حدوث عطل، […]

إطار عمل تطوير البرمجيات الآمنة (SSDF)، المعروف أيضًا باسم NIST SP800-218، عبارة عن مجموعة من الإرشادات التي طورتها NIST استجابة للأمر التنفيذي رقم 14028، الذي يركز على تعزيز وضع الأمن السيبراني للولايات المتحدة، لا سيما فيما يتعلق بأمن سلسلة توريد البرمجيات. SSDF هو إطار عمل لأفضل الممارسات، وليس معيارًا. وفي حين أنها ذات أهمية خاصة للمنظمات التي […]

الخلفية SLSA (مستويات سلسلة التوريد للبرامجيات) هي إطار عمل أمني يهدف إلى منع التلاعب، وتحسين السلامة، وتأمين الحزم والبنية التحتية. المفهوم الأساسي لـ SLSA هو أنه لا يمكن الوثوق بالمنتج البرمجي إلا إذا كان يتوافق مع ثلاثة متطلبات: يجب أن يكون للمنتج مستند مصدر يصف أصله وعملية البناء […]

"يجب أن يتحمل بائعو البرمجيات المسؤولية عندما يفشلون في الوفاء بواجب الرعاية الذي يدينون به للمستهلكين أو الشركات أو مقدمي البنية التحتية الحيوية" (البيت الأبيض). اليوم، من المتوقع أن يتحمل أي مزود برامج مسؤولية أكبر لضمان سلامة وأمن البرامج من خلال الاتفاقيات التعاقدية، وإصدارات البرامج وتحديثاتها، والإخطارات، و […]

TL;DR في السنوات الأخيرة، دافعت صناعة التكنولوجيا بقوة عن مفهوم "التحول إلى اليسار" في تطوير البرمجيات، ودعت إلى التكامل المبكر للممارسات الأمنية في دورة حياة التطوير. تهدف هذه الحركة إلى تمكين المطورين من تحمل مسؤولية ضمان أمان التعليمات البرمجية الخاصة بهم منذ بداية المشروع. ومع ذلك، في حين أن النوايا وراء هذا النهج هي […]

لم تستوعب الصناعة بعد فكرة SBOM بشكل كامل، وقد بدأنا بالفعل في سماع مصطلح جديد - ML-BOM - قائمة مواد التعلم الآلي. قبل أن يبدأ الذعر، دعونا نفهم لماذا يجب أن يتم إنتاج مثل هذا BOM، والتحديات في إنشاء ML-BOM، وكيف يمكن أن يبدو مثل ML-BOM. […]

أحد مخاطر سلسلة توريد البرامج هو تسرب الأسرار. الأسرار موجودة في كل مكان حول سلسلة توريد البرمجيات؛ يحتاج المطورون وخطوط أنابيب CI\CD إلى استخدام الأسرار للوصول إلى SCM وخطوط الأنابيب وسجلات العناصر والبيئات السحابية والخدمات الخارجية. وعندما تكون الأسرار في كل مكان، فهي مسألة وقت […]

في أوائل أغسطس، أصدر المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) مسودة نسخة 2.0 من إطار عمل الأمن السيبراني البارز، والذي نُشر لأول مرة في عام 2014. لقد تغير الكثير على مدى السنوات العشر الماضية، وليس أقلها المستوى المتزايد من الأمن السيبراني. تهديدات الأمن السيبراني التي حددتها الوثيقة الأصلية لمساعدة الحرجة [...]

لقد سمعنا جميعًا الكثير عن SBOMs مؤخرًا. وسمعنا عن فائدتها وتكوينها ومتطلباتها من حيث الأمن والتنظيم. هذه المرة أريد أن أخصص بعض الوقت للحديث عن جزء أقل شهرة من CyclonDX SBOM - رسم التبعية. على عكس الاسم الذي يشير إلى أن الرسم البياني للتبعية ليس […]

لقد تمت كتابة الكثير من الكلمات في السنوات القليلة الماضية حول SBOM – قائمة المواد البرمجية. مع كل هذا التعرض، يشعر الأشخاص أنهم يعرفون ما هو جيد بما يكفي لشرحه - إنها قائمة بمكونات البرامج، وهي مهمة للشفافية والأمن، وتساعد في كشف التبعيات العابرة. الجميع […]