أصبح Wiz Code متاحًا الآن بشكل عام للعملاء كجزء من العرض المعتمد من Wiz’s FedRAMP، Wiz for Government! إن إضافة Wiz Code إلى عرض FedRAMP الخاص بنا يؤكد مجددًا التزامنا بتوحيد أمان التطبيقات والسحابة لجميع المستخدمين؛ تمكين عملائنا الذين يركزون على الحكومة والتنظيم من تحويل الأمان إلى اليسار من خلال توسيع التغطية الأمنية للتطبيقات والبنية التحتية والتكوينات في كل مرحلة من مراحل التطوير.

تأمين سلسلة التوريد: دورة حياة التعليمات البرمجية

كود ويز يساعد على تأمين دورة حياة التطوير السحابية الأصلية، بدءًا من التعليمات البرمجية إلى السحابة وحتى وقت التشغيل. تعمل Wiz Code على توسيع قدرات Wiz for Gov من خلال تمكين فرق الأمان من تطبيق نفس السياسات من البيئات السحابية الخاصة بهم على سير عمل التطوير وخطوط الأنابيب والمسح الأصلي بحثًا عن نقاط الضعف في مكتبات الأكواد البرمجية التابعة لجهات خارجية، بالإضافة إلى تحديد مشكلات الامتثال للترخيص والصور الأساسية غير الآمنة وتكوينات IaC الخاطئة والأسرار المكشوفة.

بالإضافة إلى ذلك، يعمل Wiz Code على توسيع إمكانيات Wiz Cloud من خلال تسريع معالجة مخاطر السحابة من التعليمات البرمجية المصدر. من خلال الاتصال بمستودعات التعليمات البرمجية وخطوط أنابيب CI/CD، يقوم Wiz بربط البيانات وتخطيط المخاطر السحابية الحرجة في Wiz Security Graph مرة أخرى بمستودع التعليمات البرمجية المصدر ومالك التطوير. يؤدي ذلك إلى تقليل وقت المعالجة من خلال منح فرق الأمان والتطوير رؤية مشتركة للمخاطر الأكثر خطورة لديهم من السحابة إلى التعليمات البرمجية، وتوضيح من المسؤول عن مشكلات محددة. تعمل الرؤية الموحدة لأمان السحابة والتطبيقات على تسريع عمليات المعالجة وكسر العزلة وتعزيز التعاون الأكثر كفاءة بين الفرق.

تاريخ من التنمية الصامتة

أصبحت السحابة الآن رمزًا. أدت ممارسات DevOps الحديثة مثل النقل بالحاويات والبنية التحتية كرمز (IaC) إلى عدم وضوح الخطوط الفاصلة بين التطبيقات والبنية التحتية السحابية. ومع ذلك، لا يزال يتم التعامل مع أمان التطبيقات والسحابة باعتبارهما اهتمامات منفصلة؛ تعمل في الأدوات المنعزلة ووظائف الأعمال. وقد أدى هذا الانفصال إلى ازدواجية الجهود، ووجود فجوات في التغطية الأمنية، وعدم الكفاءة في حلول النقاط المتعددة، وارتفاع التكلفة الإجمالية للملكية – كل ذلك مع ترك المشكلات الحرجة دون حل وإغراق الفرق بضجيج التنبيه.

يؤدي استخدام أدوات المسح المنعزلة بين التعليمات البرمجية والإنتاج إلى الافتقار إلى الرؤية الموحدة والسياق لفهم كيفية تأثير تكوينات التعليمات البرمجية على بيئة الإنتاج الأوسع. يصبح من الصعب تتبع أي تكوينات خاطئة يتم تحديدها في الإنتاج إلى مستودع التعليمات البرمجية والمطور، مما يؤدي إلى تفاقم جهود الإصلاح وإبطائها.

في البيئات الحكومية شديدة التنظيم، توجد تحديات أخرى حيث يجب أن تكون بيئات نشر التعليمات البرمجية وتشغيل الإنتاج الجديدة مسؤولة عن ترخيص التشغيل (ATO). تم توثيق ضوابط ATO هذه ضمن عائلة وثائق NIST Special Publication (SP)، وتحدد عمليات النظام والمتطلبات التي يجب على المؤسسات أخذها في الاعتبار أثناء عمليات التدقيق المنتظمة.

“قد تنحرف الأنظمة ومكونات النظام وخدمات النظام بشكل كبير عن المواصفات الوظيفية والتصميمية التي تم إنشاؤها أثناء المتطلبات ومراحل التصميم لدورة حياة تطوير النظام. لذلك، تعد تحديثات نمذجة التهديدات وتحليلات نقاط الضعف لتلك الأنظمة ومكونات النظام وخدمات النظام أثناء التطوير وقبل التسليم أمرًا بالغ الأهمية للتشغيل الفعال لتلك الأنظمة والمكونات والخدمات…”

SA-11(2) NIST SP 800-53r5، خط الأساس لضوابط الأمان FedRAMP – متوسط

تقليل مخاطر التطبيقات مع تسريع وقت النشر

زادت سرعة التطوير. مع اعتماد ممارسات التطوير الرشيقة وبدء المطورين في تبني مساعدي إكمال التعليمات البرمجية بالذكاء الاصطناعي، تقوم فرق التطوير بتنفيذ التعليمات البرمجية بسرعة أكبر من أي وقت مضى. إن استخدام الحلول القديمة المتعددة المنعزلة لا يمكن مواكبته؛ غالبًا ما يؤدي ذلك إلى إبطاء المطورين من خلال حجم كبير من التنبيهات وتقليل الإنتاجية الإجمالية.

يوفر Wiz Code تعليقات أمنية ذات أولوية في الوقت الفعلي واقتراحات للإصلاح مباشرة ضمن سير عمل المطور. يتكامل Wiz Code في خطوات مختلفة من دورة حياة التطوير: IDE، وطلبات السحب، وسير عمل CLI – لمعالجة المخاطر الحالية ومنع نشر مخاطر جديدة. ومن خلال فحص التعليمات البرمجية الخاصة بها مقابل نفس السحابة والمضيف والثغرات الأمنية وقواعد الأمان السحابية الأخرى، يمكن للمؤسسات دمج الأمان مباشرة في دورة حياة التطوير؛ تقليل الوقت اللازم للنشر وتوسيع نطاق الأمان الحديث للسحابة.

باستخدام Wiz Code، يمكن للمؤسسات كسر العزلة عن طريق تقليل استخدام أدوات الفحص المتعددة؛ تقليل الديون الأمنية التي يتم تحملها في دورة السباق التالية

لتسريع معالجة المخاطر التي تم تحديدها داخل بيئاتها السحابية، يمكن للمؤسسات إثراء Wiz Security Graph الخاصة بها باستخدام Wiz Code لإنشاء مخزون من مستودعات التعليمات البرمجية وهويات المطورين. يؤدي تضمين هذه البيانات في الرسم البياني للأمان إلى ربط النتائج الموجودة في التعليمات البرمجية (على سبيل المثال، CVEs/KEVs، والأسرار، وIaC) بالتكوينات الخاطئة في التحكم في الإصدار وCI/CD، من أجل تقييم موحد وشامل للمخاطر. يؤدي هذا إلى ربط المشكلات الحرجة التي تم العثور عليها بسرعة بمكونات التعليمات البرمجية الخاصة بها من أجل معالجة أكثر كفاءة.

“إن إدارة المخاطر هي نشاط شامل يؤثر على كل جانب من جوانب المنظمة بما في ذلك أنشطة تخطيط المهمة والأعمال، وبنية المؤسسة، وعمليات SDLC، وأنشطة هندسة الأنظمة التي تعد جزءًا لا يتجزأ من عمليات دورة حياة النظام.”

NIST SP 800-37r2، إطار إدارة المخاطر لنظم المعلومات والمنظمات

تتيح هذه المزايا المراقبة المستمرة للتعليمات البرمجية إلى السحابة باستخدام حواجز حماية التطوير للمساعدة في منع إدخال التكوينات الخاطئة ونقاط الضعف. وهذا يضع الأساس لسلسلة توريد برمجيات آمنة ليست معزولة داخل مصنع DevOps فحسب، ولكنها تحتوي على السياق الضروري لتمكين المطورين من فهم كيفية تأثير التعليمات البرمجية الخاصة بهم على الوضع الأمني ​​الأوسع لبيئة الإنتاج السحابية. تعد هذه خطوة حاسمة نحو تمكين تعاون أقوى بين الفرق عبر دورة حياة التطوير السحابية الأصلية، وهي أمر بالغ الأهمية عند التحرك نحو ترخيص التشغيل المستمر (cATO)، حيث تكون التعليقات بين SOC وAppSec وDevOps وGRC والفرق الأخرى ضرورية مراقبة البيئات السحابية للإنتاج بشكل مستمر.

معالجة حالات الاستخدام الجديدة من خلال Wiz Code

  • محرك سياسة واحد للتعليمات البرمجية والسحابة ووقت التشغيل: يعمل Wiz Code على توسيع محرك سياسة Wiz الموحد الذي يفرض ضوابط الأمان بشكل متسق عبر دورة حياة التطوير بأكملها. يتضمن ذلك SCA وSBOM، بالإضافة إلى البحث عن ثغرات CVE مفتوحة المصدر والبرامج الضارة والأسرار المكشوفة وتكوينات IaC الخاطئة والبيانات الحساسة. من خلال ربط النتائج عبر التعليمات البرمجية والسحابة ووقت التشغيل، يقوم Wiz بدمجها في عرض واحد، مما يساعد الفرق على تحديد الأسباب الجذرية ومعالجة المشكلات بشكل أسرع وأكثر فعالية.

مسح WizCLI في خطاف git قبل الالتزام: وضع سياق اكتشاف سري مكشوف

نفس الخطر الذي شوهد من Wiz Security Graph
  • تعيين Code-to-Cloud وCloud-to-Code باستخدام Wiz Security Graph: يستخدم Wiz Code الرسم البياني الأمني ​​لتوصيل مستودعات التعليمات البرمجية وخطوط أنابيب CI/CD بالبيئات السحابية والعودة. تتيح هذه الإمكانية لفرق الأمان تحديد أولويات المشكلات الأكثر أهمية، وتخطيطها عبر المجموعة بأكملها، بدءًا من التكوينات الخاطئة في البنية التحتية السحابية وحتى نقاط الضعف في مكتبات الجهات الخارجية والأسرار المكشوفة. بالإضافة إلى ذلك، يسلط Wiz Code الضوء على سياق الملكية، مما يوضح فرق التطوير المسؤولة عن مشكلات محددة. يؤدي ذلك إلى تسريع عملية المعالجة، وإزالة العزلة، وتعزيز التعاون الفعال.

  • المعالجة السريعة للتكوينات الخاطئة ونقاط الضعف في السحابة: تم تضمين Wiz Code بعمق في سير عمل المطورين ويقوم بإنشاء اقتراحات للإصلاح بنقرة واحدة، لذلك لا يضطر المطورون إلى ترك أدواتهم المفضلة. وهذا يمكّن المؤسسات من إصلاح مشكلات السحابة في التعليمات البرمجية بشكل أسرع، مما يقلل من نافذة التعرض والاستغلال. تتيح القدرة على تتبع المخاطر مرة أخرى إلى المستودع والمطور الذي قدمها للفرق تطبيق الإصلاحات بسرعة ومقارنة الحالات السابقة/اللاحقة، مما يضمن معالجة المشكلة بالكامل.

  • البدء بأمان في التعليمات البرمجية باستخدام حواجز حماية Wiz: يقدم Wiz Code تعليقات أمنية في الوقت الفعلي، معززة بالرؤى السحابية، مباشرة في IDE وطلبات السحب. يساعد هذا المطورين على توقع تأثير الثغرات الأمنية أو الأسرار المكشوفة بمجرد نشر التعليمات البرمجية الخاصة بهم. من خلال ضمان أمان قوي للتعليمات البرمجية منذ البداية، يمكن لفرق التطوير تجنب تراكم ديون الأمان، مع الحفاظ على تركيز دورات الركض الخاصة بهم على تسليم القيمة مع الحفاظ على مستوى عالٍ من الأمان.

  • توسيع إدارة الوضع الأمني ​​إلى خط الأنابيب: تعمل Wiz Code على توسيع إمكانيات CSPM الخاصة بـ Wiz لتشمل بيئات التطوير مثل التحكم في الإصدار وأنظمة CI/CD. من خلال دمج بيانات التكوين من أدوات المطورين في الرسم البياني للأمان، يوفر Wiz Code تحديدًا أكثر دقة لأولويات المخاطر، مما يساعد الفرق على التركيز على مسارات الهجوم المهمة. بالإضافة إلى ذلك، يمكن لفرق الأمان تقييم درجة امتثالها لأطر العمل الناشئة مثل OWASP TOP10 CI/CD Risks أو OpenSSF Source Code Management Best Practices.

توسيع نطاق السحابة من خلال الرؤية الموحدة

يأتي الدمج السريع لـ Wiz Code في عرض Wiz for Gov بعد وقت قصير من إضافة الحذق وقت التشغيل الاستشعار، والاقتراب من تكافؤ الميزات والمنتجات بين تجارب فرق التطوير التي تستفيد من عروض Wiz Commercial أو Wiz for Government. يؤدي هذا إلى توحيد أمان التعليمات البرمجية، وفتح مجموعات الأدوات والإمكانيات التي لم تكن متاحة سابقًا لهذه البيئات المنظمة.

تتيح إضافة Wiz Code إلى عرض Wiz for Gov FedRAMP لمنشئي السحابة والمدافعين عن المشاركة معًا في جهد جماعي لتقليل المخاطر وتسريع تطوير السحابة. تصبح حواجز الحماية داخل خط أنابيب IDE وCI/CD SDLC المقدم من Wiz Code بمثابة مرساة حاسمة لانتقال المؤسسة إلى سلسلة توريد البرمجيات الآمنة. عندما يتم الاستفادة من هذا المرساة جنبًا إلى جنب مع حل CNAPP المبتكر للمراقبة المستمرة من Wiz والمقدم من خلال Wiz Cloud، يمكن للمؤسسات ذات البيئات الخاضعة للتنظيم الحكومي تأمين دورة حياة التطبيقات السحابية الأصلية بالكامل، بدءًا من التعليمات البرمجية وحتى وقت التشغيل.

شاركها.
اترك تعليقاً