لقد استثمرت فرق الأمان بشكل كبير في تأمين التعليمات البرمجية التي يكتبها المطورون. لكن الجهات الفاعلة في مجال التهديد انتقلت إلى المنبع. تعمل خطوط أنابيب CI/CD بامتيازات عالية حسب التصميم، وتحمل بيانات الاعتماد السحابية، ورموز التسجيل المميزة، ومفاتيح SSH، وأسرار الإنتاج. إنهم يسحبون كود الطرف الثالث في وقت التشغيل وينفذونه تلقائيًا، وعلى نطاق واسع، في كل دفعة وكل طلب سحب. قم بتسوية خط الأنابيب، ولن تحصل على الكود فقط، بل ستحصل على مفاتيح كل شيء يلمسه.
لقد قامت الصناعة بعمل جيد في نمذجة هذه التهديدات أهم 10 مخاطر لـ CI/CD في OWASP يمثل مثالا قويا. ولكن لم يتم فعل الكثير لتحويل هذه التوصيات إلى ضوابط بسيطة وفعالة يمكن أن تثق بها فرق الأمن بالفعل. ويز يغير ذلك اليوم.
نمط من الهجمات على خطوط الأنابيب: الحوادث التي أوصلتنا إلى هنا
هجمات سلسلة التوريد إن استهداف البنية التحتية لـ CI/CD ليس افتراضيًا، بل هو نمط متكرر. في غضون أقل من عامين، شهدنا العديد من الهجمات البارزة على سلسلة التوريد التي تستغل نقاط الضعف المختلفة في خطوط الأنابيب.
الموضوع المشترك في كل هذه الحوادث هو أن خط الأنابيب نفسه كان غير مرئي من الناحية الأمنية. لم يتمكن أحد من معرفة أي مهام سير العمل تحتوي على تكوينات تشغيل خطيرة، أو المهام التي تم تشغيلها بأذونات زائدة، أو إجراءات الجهات الخارجية التي تم التلاعب بها بصمت.
الحدود الجديدة: وكلاء الذكاء الاصطناعي في خطوط الأنابيب الخاصة بك
وكلاء ترميز الذكاء الاصطناعي ينتقلون إلى خط أنابيب البناء. بينما كان المطورون يقومون في السابق بتشغيل نصوص برمجية ثابتة ووظائف محددة مسبقًا، فإنهم الآن ينشرون وكلاء مستقلين قادرين على قراءة السياق واتخاذ القرارات وكتابة التعليمات البرمجية والالتزام بها وتنفيذ أوامر shell مباشرة داخل سير عمل CI الخاص بهم. إجراءات جيثب يعد هذا أحد أكثر الأماكن شيوعًا التي يحدث فيها هذا اليوم، ولكن النمط يمتد إلى أي منصة CI حيث يمكن تسليم الوكيل رمزًا مميزًا للوظيفة ويطلب منه التشغيل.
الراحة حقيقية، لكن المخاطرة كذلك. يعمل هؤلاء الوكلاء بامتيازات مرتفعة لوظيفة CI، مثل بيانات الاعتماد السحابية، والوصول إلى الكتابة في المستودع، ورموز OIDC المميزة المخصصة للإنتاج. وعلى عكس البرنامج النصي، يمكن للوكيل أن يتأثر بمدخلاته. يرسل مساهم خارجي طلب سحب أو تعليق إصدار يحتوي على مطالبة ضارة، ويقوم الوكيل بتنفيذ أوامر عشوائية باستخدام بيانات اعتماد نظام CI. لا يلمس ممثل التهديد أبدًا سير العمل YAML، حيث يبدو سجل البناء طبيعيًا، ولكن الضرر قد وقع.
هذا هو الحقن الفوري، وهو نموذج تهديد مختلف تمامًا عن النموذج الذي اعتادت فرق الأمان الخاصة بالتكوينات الخاطئة لخطوط الأنابيب على التفكير فيه.
يكتشف Wiz الآن المخاطر والتكوينات الخاطئة المتعلقة باستخدام عوامل الذكاء الاصطناعي في CI. تستهدف هذه التكوينات المحددة التي تجعل الحقن الفوري قابلاً للتطبيق، مثل الأذونات الممنوحة للعملاء، والمشغلات التي يستجيبون لها، والظروف التي يعملون بموجبها.
تظهر هذه النتائج ضمن فئة أمان CI/CD جنبًا إلى جنب مع مخاطر خطوط الأنابيب الأخرى، مما يمنح فرق الأمان رؤية موحدة لكل من التكوينات الخاطئة التقليدية والمجموعات المحفوفة بالمخاطر.
أصبحت خطوط أنابيب CI/CD الآن بمثابة سطح أمان من الدرجة الأولى في Wiz
كود ويز الآن تقوم بنماذج وتحليلات وجرد خطوط أنابيب CI/CD الخاصة بك. لقد توقفت الرؤية الأمنية تقليديًا عند طبقة التعليمات البرمجية، حيث تقوم بمسح ما يكتبه المطورون، ولكنها تظل عمياء عن النظام الذي يختبر هذا الرمز ويبنيه. يقوم Wiz الآن بتوسيع هذه الرؤية بشكل أكبر، من المستودعات والتعليمات البرمجية الموجودة بداخلها إلى البنية التحتية للإنشاء نفسها. وإليك كيف يعمل في الممارسة العملية.
رؤية خط الأنابيب بالطريقة التي يفعلها ممثلو التهديد
أساس كل شيء هو النمذجة. يقوم Wiz الآن بتحليل ملفات YAML لسير عمل GitHub Actions ونماذج سير العمل والوظائف والعدائين وعلاقاتهم ككائنات في Wiz Security Graph. وهذا يعني أن خطوط الأنابيب الخاصة بك لم تعد صندوقًا أسود. إنها أصول متصلة وقابلة للاستعلام عنها مع سياق حول ما يثيرها، وما يمكنها الوصول إليه، ومكان وجودها في بيئتك الأوسع.
لكن هيكل النمذجة ليس سوى جزء من الصورة. يقوم Wiz أيضًا بتعيين تبعيات خطوط الأنابيب للتقنيات الأساسية التي تقف وراءها، لذلك لا يظهر سير العمل الذي يشير إلى google-github-actions/run-gemini-cli كاسم إجراء غير شفاف، بل يظهر باسم Gemini. هذا هو الفرق بين معرفة شكل خط الأنابيب الخاص بك وفهم سطح الهجوم الحقيقي.
ومن هذا الأساس، يسلط ويز الضوء على المخاطر المهمة. يتم وضع علامة تلقائيًا على المشغلات الخطيرة مثل pull_request_target، فئة التكوين الخاطئ الدقيقة التي مكنت كلاً من Shai Hulud وTrivy، عبر CCRs. تظهر المدخلات الخطرة والتسريبات السرية المحتملة ضمن تعريفات خطوط الأنابيب وتكوينات سير العمل غير الآمنة كنتائج داخل منصة Wiz.
الأذونات: مشكلة نصف قطر الانفجار
واحدة من أكثر مخاطر CI/CD استمرارًا هي أيضًا واحدة من أقل المخاطر وضوحًا – خطوط الأنابيب التي تعمل مع إمكانية وصول أكبر بكثير مما تحتاج إليه. إن سير العمل الذي يتم تشغيله بواسطة طلب سحب خارجي مع إمكانية الوصول للكتابة إلى محتويات المستودع ليس مجرد تكوين خاطئ، بل هو تصعيد للامتيازات في انتظار حدوثه.
يقوم Wiz الآن بتحليل الأذونات المعلنة في ملفات GitHub Actions YAML ويقوم تلقائيًا بإنشاء مشكلات للتكوينات الخطرة أو المفرطة. تحصل فرق الأمان على رؤية واضحة لخطوط الأنابيب التي تتمتع بالامتيازات الزائدة ويمكن معالجتها قبل أن يصبح هذا الوصول مسارًا للهجوم.
من سجلات التدقيق إلى السياق القابل للتنفيذ
معرفة أن خط الأنابيب تم تكوينه بشكل خاطئ هو شيء واحد. إن فهم ما يحدث بداخله في الوقت الفعلي هو أمر آخر. يقوم Wiz الآن بربط أحداث سجل تدقيق GitHub Actions مباشرةً بسير العمل وكائنات الوظيفة المرتبطة بها، وليس فقط على مستوى المستودع. يعد المشغل غير المتوقع، أو تغيير الإذن، أو التنفيذ غير المعتاد في وقت التشغيل، كلها أمثلة على ما يمكن إرجاعه الآن إلى سياق المسار المحدد الذي حدث فيه، مع وجود Wiz Security Graph الكامل خلفه لربط النقاط.
تبعيات خطوط الأنابيب الخاصة بك لها سلسلة توريد أيضًا
يعد تحليل تكوين البرامج ممارسة مفهومة جيدًا تساعد الفرق على جرد التبعيات مفتوحة المصدر وتتبع نقاط الضعف والتصرف عند تعرض شيء ما للخطر. لكن هذا التحليل توقف تقليديًا عند طبقة التطبيق. يحتوي خط أنابيب CI الخاص بك على تبعيات أيضًا، ويحمل نفس المخاطر.
كل إجراء لجهة خارجية تسحبه مسارات العمل الخاصة بك من GitHub Marketplace هو مكون خارجي تثق به ضمنيًا لتنفيذه داخل بيئة البناء الخاصة بك، باستخدام بيانات الاعتماد الخاصة بك، على البنية التحتية الخاصة بك. يمكن اختراق الإجراء الموثوق به وإعادة توجيهه بصمت إلى تعليمات برمجية ضارة دون تغيير سطر واحد في ملف سير العمل الخاص بك. كانت حادثة Trivy على وجه التحديد هي: ليست ثغرة أمنية في التعليمات البرمجية، ولكنها مشكلة تبعية في طبقة خط الأنابيب.
يقوم Wiz بتوسيع تحليل التركيب إلى CI، مما يمنحك CI-BOM، الذي يمثل قائمة المواد الخاصة بالبنية الأساسية للبناء الخاص بك. يتم جرد كل إجراء قيد الاستخدام عبر مؤسستك، بالإضافة إلى ترخيصه وسير العمل والوظائف المرتبطة به. عندما يتم اختراق إصدار حركة معين، ستعرف على الفور نطاق الانفجار الخاص بك. ولأن Wiz يعين الإجراءات للتقنيات الأساسية التي تقف خلفها، فأنت لا تنظر إلى قائمة أولية من مراجع الإجراءات، بل تنظر إلى ماهية هذه الإجراءات فعليًا وما تفعله.
إدارة المخاطر عبر كامل عقارات CI/CD الخاصة بك
إن فهم خط أنابيب واحد يمثل مشكلة في الرسم البياني. إن فهم خمسة آلاف يمثل مشكلة جرد، وهذا هو حال معظم الفرق اليوم.
يقوم Wiz بشحن صفحة جرد خطوط أنابيب CI مخصصة تجمع كل عمليات سير العمل الخاصة بك معًا في مكان واحد، جنبًا إلى جنب مع نتائج الأمان ومستويات المخاطر والحالة النشطة والبيانات التعريفية لخطوط الأنابيب. يمكن لفرق الأمن أخيرًا فهم خطوط الأنابيب التي تم الكشف عنها، وأي منها لم يتم التطرق إليها منذ أشهر ولكنها لا تزال تحمل بيانات اعتماد الإنتاج، وأي منها يحتاج إلى الاهتمام الآن.
فكر في الأمر على أنه مكافئ CI/CD لما يفعله Wiz بالفعل للبنية التحتية السحابية. يتم تطبيق نفس الرؤية على مستوى الوضعية على بيئة البناء الخاصة بك.
كيف تجتمع هذه القدرات معًا: درس من حادثة تافهة
لم يتوقف هجوم سلسلة التوريد Trivy على قضية واحدة، بل كان نتيجة لثغرات متعددة تمت مواءمتها مع مرور الوقت. لعب كل من المشغل الخطير والأذونات المفرطة والتبعية المخترقة دورًا. ما أحدث الفارق هو عدم وجود رؤية واضحة وموحدة لما كان يجري فعليًا عبر CI.
هذا هو المكان الذي يصبح فيه مخزون خطوط أنابيب CI أساسيًا. فهو يوفر خريطة حية لسير العمل، والوظائف، والمتسابقين، والإجراءات، والمستودعات، والمشغلات، مما يخلق مصدرًا للحقيقة لبيئة CI نفسها. ومن خلال هذه الرؤية، يمكن للفرق فهم ليس فقط المخاطر الفردية، ولكن أيضًا كيفية تواصلهم.
في حالة Trivy، تمكن سير العمل باستخدام pull_request_target من الوصول إلى الأسرار الحساسة وظل في مكانه لعدة أشهر. وفي الوقت نفسه، مكنت أذونات الكتابة من التصعيد من الوصول الأولي إلى التحكم الكامل في خط الأنابيب. علاوة على ذلك، قدمت علامات الإجراءات التابعة لجهات خارجية الموثوقة مخاطر التبعية عبر خطوط الأنابيب النهائية. وكانت كل من هذه الإشارات مرئية، ولكنها غير متصلة.
في Wiz، يقوم مخزون CI بتشغيل هذا الاتصال. يرتبط المشغل الخطير وسير العمل ذو الامتيازات الزائدة والتبعية المخترقة بمشكلة واحدة على الرسم البياني الأمني. بدلاً من النتائج المنفصلة، ترى الفرق خطرًا واحدًا ذو أولوية مع سياق كامل وطريق واضح للعلاج.
وهذا ما يتيحه النهج القائم على الرسم البياني. عندما تفهم ما يجري وكيفية ارتباطه، يمكنك اكتشاف المخاطر مبكرًا والتركيز على ما يهم بالفعل.
يعد خط الأنابيب جزءًا من برنامج الأمان الخاص بك الآن
تم إنشاء Wiz Code على أساس الاعتقاد بأن تأمين البرنامج يعني تأمين دورة الحياة بأكملها، وليس فقط التعليمات البرمجية نفسها، ولكن كل عملية تشارك في إنشائها وتسليمها. خطوط أنابيب CI/CD هي المكان الذي تتلاقى فيه التعليمات البرمجية وبيانات الاعتماد وتبعيات الطرف الثالث والوصول إلى السحابة. لفترة طويلة جدًا، كان هذا التقارب غير مرئي للفرق الأمنية. ويز هنا لتغيير ذلك.
اطلب عرضًا توضيحيًا لترى كيف يمنح Wiz الفرق رؤية كاملة لسلسلة توريد البرامج.
