أدت ممارسات التطوير الحديثة ومساعدي الذكاء الاصطناعي إلى زيادة حجم وسرعة التعليمات البرمجية بشكل كبير، حيث ينتقل المطورون غالبًا من المطالبة → علامة التبويب → الالتزام في دقائق.

تم إنشاء Wiz Code منذ اليوم الأول كمنصة كاملة لـ ASPM لمواكبة تلك السرعة، والجمع بين المسح الأصلي لـ SCA والأسرار والبيانات الحساسة وIaC ووضع سلسلة التوريد مع المرونة في استيعاب النتائج من الماسحات الضوئية الشائعة للأكواد. ومن خلال جمع هذه الإشارات معًا في Wiz Security Graph، يمكن للعملاء ربط المشكلات من التعليمات البرمجية إلى السحابة وتوجيه الإجراء من خلال الأدوات ومسارات العمل التي تستخدمها فرقهم بالفعل.

واليوم، نقوم بتوسيع هذا الأساس باستخدام Wiz SAST في المعاينة العامة، مما يتيح للفرق مسح كود تطبيقاتهم وفهم تأثير وقت التشغيل وإصلاح المشكلات باستخدام نفس الرسم البياني وسير العمل الموحد.

السياق أولاً: تعيين التعليمات البرمجية للسحابة بدون تكوين

يبدأ تأمين التطبيقات الحديثة بفهم كيفية تصرف التعليمات البرمجية فعليًا بمجرد وصولها إلى السحابة. ولهذا السبب تم إنشاء Wiz Code أعلى النظام الأساسي تعيين الكود إلى السحابة بدون تكوين، مما يسمح للفرق برؤية ليس فقط وجود ثغرة أمنية، ولكن أيضًا مكان تشغيله، وكيفية نشره، وما يمكنه الوصول إليه.

من خلال تحليل المستودع، ومسح السجل، وسلالة الحاوية الآلية، يتتبع Wiz ما يلي:

كود المصدر → خط أنابيب CI → مستودع الحاوية → صورة الحاوية

مثال لتعيين الكود إلى السحابة.

يحدث هذا بدون وضع العلامات، أو اختراق CI/CD، أو تحمل المطور تكاليف إضافية.

هذا هو المكان الذي يغير فيه Wiz Code القواعد. من خلال إثراء نتائج أمان التعليمات البرمجية مع سياق النشر الفعلي، يمكنك الإجابة على الأسئلة المهمة لأول مرة:

  • هل تم نشر هذا الكود الضعيف بشكل نشط؟

  • هل هذا التطبيق مكشوف على الإنترنت، وهل يتعامل مع البيانات الحساسة أو المنظمة؟

  • من يملكها ومن يجب أن يصلحها؟

هذا هو نوع التطبيق الأساسي لـ ASPM الذي تطمح فرق الأمان السحابية إلى الحصول عليه، وهو نموذج تشغيل واحد يربط بين التعليمات البرمجية والسحابة والمخاطر.

يقوم Wiz SAST بتوسيع محرك سياستنا من خلال الكشف عن الثغرات الأمنية على مستوى التعليمات البرمجية، دون تقديم أداة أخرى للإدارة.

سياسات Wiz المضمنة للتعليمات البرمجية وCI/CD، بما في ذلك سياسة SAST الجديدة.

يرث Wiz SAST نموذج تشغيل Wiz الكامل. يبقى الإعداد سهلاً من خلال نقرة واحدة على جميع منصات VCS الخاصة بك. يتم تنسيق جميع عمليات الفحص من خلال محرك سياسة موحد، مما يجعل التنفيذ قابلاً للتنبؤ والاستثناءات متسقة عبر مجالات المخاطر. ونظرًا لتدفق جميع النتائج إلى بوابة Wiz، تحصل فرق AppSec على عرض موحد لمشكلات التعليمات البرمجية والسحابة في مكان واحد، دون إدارة أداة مستقلة أخرى.

يتم تشغيل Wiz SAST بالكامل بواسطة Wiz Security Graph، مما يسمح بفهم كل نتيجة في السياق الأوسع لسلوك عبء العمل: مكان تشغيل التعليمات البرمجية، وما إذا كان مكشوفًا، وما هي الامتيازات التي يتمتع بها، وما إلى ذلك.

يقوم مستودع التعليمات البرمجية الذي يحتوي على ثغرة أمنية في التحقق من صحة الإدخال غير الصحيح بإنشاء حاوية مكشوفة للعامة.

من خلال ربط النتائج الثابتة بالتعرض أثناء التشغيل، والأذونات المفرطة، والبيانات الحساسة التي يمكن الوصول إليها، ومسارات الشبكة، يعمل Wiz تلقائيًا على رفع نقاط الضعف القليلة التي تمثل خطرًا كبيرًا، مثل:

  • خطأ في اجتياز المسار في التعليمات البرمجية يؤدي إلى إنشاء عبء عمل باستخدام تعيينات hostPath الحساسة

  • ثغرة أمنية في “إدخال التعليمات البرمجية” تقع في حاوية مميزة

  • نقطة ضعف في حقن SQL في عبء العمل الذي يتعرض مباشرة للإنترنت

يقوم Wiz أيضًا بتجميع نقاط الضعف ذات الصلة في عائلات CWE حتى تتمكن فرق AppSec من معالجة السبب الجذري بالكامل بدلاً من الأحداث الفردية.

لقد تعاملنا مع الأمن باعتباره تحديًا هندسيًا؛ كنا بحاجة إلى تحويل عملية “الأمن الهزيل”، وليس مجرد أداة منعزلة أخرى. أحدثت SAST التقليدية ضجيجًا، لكن التحول إلى Wiz SAST، مع الاستفادة من السياق السحابي لـ Security Graph، يسمح لنا بإعطاء الأولوية فقط للمشكلات الحقيقية القابلة للاستغلال بدلاً من آلاف النتائج.

سيمون جولدسميث، كبير مسؤولي أمن المعلومات في OVO

وبالنسبة للمؤسسات التي تستخدم أدوات فحص أخرى، تستوعب Wiz النتائج من أدوات مثل Checkmarx وSemgrep وSnyk Code وغيرها، مما يعمل على إثرائها بنفس السياق السحابي لتقديم رؤية موحدة للمخاطر.

اكتشاف المخاطر هو نصف المهمة فقط. إصلاحها هو ما يحسن وضع أمان التطبيق. يتم ربط كل نتيجة من نتائج Wiz SAST مباشرة بالمستودع ذي الصلة ومالك الكود وموقع المصدر، مما يمنح الفرق وضوحًا فوريًا بشأن من يجب عليه اتخاذ الإجراء.

لمساعدة فرق AppSec على اتخاذ القرارات بسرعة، يوفر وكيل SAST المدعوم بالذكاء الاصطناعي سياقًا إضافيًا يتجاوز المقتطف الضعيف وتصنيف CWE. فهو يساعد في الفرز من خلال شرح سبب إمكانية استغلال النتيجة أو من خلال وضع علامة عليها على أنها إيجابية كاذبة محتملة. وهذا يقلل من الجهد اللازم لفهم النتائج المعقدة وفرزها.

SAST AI Agent لفرز النتائج وشرحها في التعليمات البرمجية.

بعد إصدار الحكم، يقترح وكيل الذكاء الاصطناعي أيضًا إصلاحًا موصى به لفرق AppSec لتحديد مسار الإصلاح المناسب.

يتم توفير إرشادات العلاج بمساعدة الذكاء الاصطناعي داخل بوابة Wiz.

تلبي المعالجة أيضًا المطورين حيث يعملون. ضمن طلبات السحب، يحصل المطورون أيضًا على النتائج ويمكنهم التعليق عليها “#معالجة الحذق” لطلب إصلاح بمساعدة الذكاء الاصطناعي، يرتكز بشكل كامل على سياق قاعدة التعليمات البرمجية ويتبع ممارسات الترميز الآمنة.

تجربة محادثة في GitHub PR مع وكيل Wiz SAST AI.

تم تصميم SAST للعمل، وليس للاكتشاف فقط.

كان هدفنا بسيطًا: منح المطورين الأدوات المناسبة، وليس المزيد من التذاكر. باستخدام منصة Wiz Code ASPM ومحرك SAST، يحصل المطورون الآن على إرشادات قابلة للتنفيذ، بما في ذلك مقتطف التعليمات البرمجية الضعيفة وسياق وقت التشغيل الكامل وخيارات معالجة الذكاء الاصطناعي. في النهاية، يؤدي سير العمل المتكامل هذا إلى معالجة أسرع وأفضل عبر نموذج الأمان الأفقي المستمر الخاص بنا.

سيمون جولدسميث، كبير مسؤولي أمن المعلومات في OVO

من خلال الجمع بين تحليل التعليمات البرمجية مع وقت التشغيل والسياق السحابي، يضع Wiz SAST الأساس لإمكانيات مثل تحديد الأولويات المدركة للتعرض عبر جميع أنواع المخاطر، وتعيين واجهة برمجة التطبيقات من المصدر إلى وقت التشغيل، وارتباط SAST، وSCA، والأسرار، وIaC، وpentest، ونتائج DAST في مسار هجوم واحد.

مع ربط كل طبقة من مخاطر التطبيقات، يصبح AppSec استباقيًا وليس رد فعل.

جربه الآن في (المعاينة العامة)

Wiz SAST متاح الآن لجميع عملاء Wiz Code. تتضمن المعاينة العامة فحص المستودع وطلبات السحب، وآلاف القواعد المنسقة، والمعالجة بمساعدة الذكاء الاصطناعي، وإثراء الرسم البياني الأمني ​​الكامل.

إذا كنت تستخدم Wiz Code بالفعل، فيمكن تمكين SAST على الفور. اقرأ الوثائق (تسجيل الدخول مطلوب) للبدء. من خلال ربط الثغرات الأمنية بالبيئات التي يتم فيها تشغيل التعليمات البرمجية فعليًا، تساعد Wiz الفرق على التركيز على المشكلات القابلة للاستغلال، وحلها بشكل أسرع، وتشغيل برنامج AppSec موحد عبر التعليمات البرمجية والسحابة.

شاركها.
اترك تعليقاً