قبل بضعة أشهر، قدم ويز كود ويز، قفزة إلى الأمام في تمكين المطورين وفرق الأمان من تحويل الأمان إلى اليسار – مما يتيح نتائج أمنية إيجابية من الأسطر الأولى من التعليمات البرمجية وحتى الإنتاج وتعزيز الكشف عن السحابة والاستجابة لها. وكانت تلك مجرد البداية.
اليوم، تعمل Wiz على توسيع نهجها لتأمين المكونات نفسها التي تشكل دورة حياة تطوير البرامج (SDLC) – وقد بدأنا بنظام التحكم في الإصدار (VCS). يمكن للعملاء تعزيز أمان بيئات التطوير الخاصة بهم وتقليل سطح الهجوم الخاص بهم من خلال تحديد وتخفيف المخاطر من مؤسسات GitHub أو المستودعات أو الفروع التي تم تكوينها بشكل خاطئ.
وكجزء من هذا الإصدار، يمكن للعملاء أيضًا قياس وضعهم بشكل استباقي وفقًا لدليل أفضل ممارسات إدارة كود المصدر الصادر عن مؤسسة الأمن مفتوح المصدر (OpenSSF). يتضمن أمان Wiz لـ VCS نهجًا شاملاً يتجاوز تقييم الامتثال التقليدي. يأخذ Wiz نظرة شاملة تتضمن تقييم عوامل الخطر المتعددة (التكوينات الخاطئة والهوية والأسرار)، إلى جانب السياق السحابي، لتحديد أولويات مسارات الهجوم الأكثر أهمية التي تؤثر على VCS الخاص بك والبيئة السحابية حيث يتم نشر التعليمات البرمجية الخاصة بك.
يعد نظام التحكم في الإصدار بمثابة المنزل الثاني للمطورين. إنه المكان الذي تساهم فيه الفرق الهندسية الموزعة في التعليمات البرمجية، وإجراء المراجعات، وأتمتة الاختبار، ونشر سير العمل، والمزيد.
تقليديًا، كان تركيز فريق الأمان دائمًا على الكود نفسه؛ ولكن هذا يمكن أن يتسبب في التغاضي عن مخاطر أمنية محتملة من التكوينات الخاطئة في VCS. ومع ذلك، يحول المهاجمون انتباههم بشكل متزايد نحو المطورين (الذين يُنظر إليهم على أنهم مستخدمون “ذوو امتيازات زائدة” داخل المؤسسة) والأدوات التي يستخدمونها.
على سبيل المثال، يمكن لحساب مطور مخترق على GitHub أن يخلق فرصًا للمهاجم، مثل تسريب كود المصدر. ويمكن للمهاجمين بعد ذلك استخدام هذا الرمز لسرقة الملكية الفكرية أو التعرف على العيوب الأمنية التي تساعدهم في التخطيط لخطوات هجومهم. علاوة على ذلك، يمكن للمهاجمين الذين يمكنهم الوصول إلى الأسرار المشفرة في حسابات المطورين استخدام هذه الأسرار للانتقال من VCS إلى الحسابات السحابية.
في غياب قواعد حماية الفروع، أو إذا تم تكوين مستودع للسماح لسير عمل GitHub Actions بالموافقة تلقائيًا على طلبات السحب (PRs)، يمكن للمهاجمين أيضًا حقن تعليمات برمجية ضارة، مما يؤدي إلى هجوم سلسلة التوريد الذي قد يصل إلى جميع مستخدمي التطبيق النهائي.
ونظراً للدور الحاسم والحساس الذي يلعبه نظام VCS في تطوير البرمجيات الحديثة، فإن النتائج تكون وخيمة دائماً، بغض النظر عن السيناريو. الهجمات البارزة الأخيرة وقد سلط الضوء كذلك على الحاجة إلى إدارة الوضع الآمن لأنظمة التعليمات البرمجية المصدر.
يتبع Wiz منهجًا شاملاً لتأمين مثيل GitHub الخاص بك من خلال الجمع بين عوامل الخطر المتعددة – مثل التعرض العام والحركة الجانبية والسياق السحابي – لتحديد أولويات مسارات الهجوم الأكثر أهمية التي تؤثر على مثيلات GitHub الخاصة بك. كما أنه يأخذ في الاعتبار من قام بإجراء التغييرات ومتى، والفريق الذي يملك المشروع، والبيئة السحابية حيث يتم نشر التعليمات البرمجية.
على سبيل المثال، عندما يحدد Wiz الأسرار في مستودعاتك، فإنه يحدد ما إذا كان المستودع مكشوفًا للعامة وما هو التأثير الذي قد يحدثه تسرب هذا السر على البيئة السحابية الخاصة بك. ثم يوضح Wiz مسار الهجوم المحتمل الذي أنشأه السر المسرب.
يظهر مثال على ذلك أدناه، حيث يوفر Wiz تصورًا لمستودع نظام التحكم في الإصدار العام مع مفاتيح سحابة النص الواضح التي تمنح امتيازات عالية.
بالإضافة إلى ذلك، يمكن للعملاء قياس توافقهم مع أفضل ممارسات إدارة كود المصدر لـ OpenSSF. تم تصميم هذه الإرشادات لتعزيز أمان وسلامة عمليات تطوير البرمجيات؛ فهي توفر إطارًا لإدارة التعليمات البرمجية المصدر، وضمان ممارسات الترميز الآمنة، والحماية من التكوينات الخاطئة المحتملة. يغطي الإطار جوانب مختلفة من تطوير البرمجيات، بما في ذلك وضع إدارة التعليمات البرمجية المصدر، وضوابط الوصول، ومسارات التدقيق. يتحقق Wiz من الإعدادات الفردية لمؤسسات GitHub ومستودعاتها وفروعها مقابل أكثر من 30 قاعدة تكوين لمساعدتك في تقييم الوضع الأمني لبيئة التطوير لديك وتحسينه.
يعد تأمين دورة حياة تطوير البرامج (SDLC) جهدًا متعدد الأوجه، وقد بدأ Wiz للتو. تعمل Wiz على توسيع قدراتها في إدارة الوضع لتتجاوز التطبيقات السحابية لتشمل البنية التحتية المستخدمة لإنشاء التطبيقات السحابية. تخطط Wiz لتوسيع التغطية لتشمل منصات VCS الأخرى لضمان الدعم المستمر لأدوات المطورين.
ستساعد هذه الإمكانات الجديدة المطورين وDevOps وفرق الأمان على اكتشاف وتقليل مخاطر مثيلات GitHub التي تم تكوينها بشكل خاطئ والبقاء متوافقين. للبدء، افهم كيفية عمل هذه الميزة، وأكثر من ذلك بكثير، اقرأ أحدث مستندات Wiz وملاحظات الإصدار. أسئلة؟ نحن نحب أن نسمع منك. تواصل معنا، وسيكون فريقنا سعيدًا بالمساعدة.
