لنكن صادقين – معظم الأدوات الأمنية يمكن أن تكون مؤلمة للغاية لاستخدامها.
هذه الأدوات عادة لا يتم تصميمها معك ، المطور ، في الاعتبار – حتى لو كنت أنت ، وليس فريق الأمن ، الذي غالبًا ما يكون مسؤولاً عن علاج القضايا. أسوأ جزء؟ تحتاج كثيراً إلى التبديل بين أداتك وبيئة DEV الخاصة بك ، أو إضافة تكامل clunky.
وفي كثير من الأحيان فإن التنبيهات ليست قابلة للتنفيذ للغاية. قد تحتاج إلى قضاء بعض الوقت في البحث بمفردك. أو ما هو أسوأ من ذلك ، يمكن للإيجابيات الخاطئة أن تسحبك بعيدًا عن بناء الشيء التالي. تنبيه التعب يزحف ، وتجد نفسك تولي اهتمامًا أقل وأقل مع تراكم نقاط الضعف.
نحن نحاول تحسين ذلك في Github من خلال بناء الأمن في سير العمل الخاص بك حتى تتمكن من ارتكاب رمز أفضل. من الحماية السرية ل أمن الكود ل تعتمد و Copilot Autofix، نحن نعمل على تجاوز الكشف لمساعدتك في تحديد أولويات المشكلات ومعالجتها – ببعض المساعدة من الذكاء الاصطناعي.
سنعرض لك كيفية كتابة رمز أكثر أمانًا على Github ، كل ذلك في أقل من 10 دقائق.
في الالتزام وقبل طلب السحب: الحماية السرية
https://www.youtube.com/watch؟v=nt47uo7tfsq
لقد قمت ببعض الأعمال وأنت على استعداد لارتكاب الرمز الخاص بك إلى Github. ولكن هناك مشكلة: لقد تركت بطريق الخطأ مفتاح API في الكود الخاص بك.
حتى لو لم تترك سرًا في الكود الخاص بك من قبل ، فهناك فرصة جيدة لك في يوم من الأيام. تعتبر الأسرار التي تم تسريبها واحدة من أشكال ضعف البرمجيات شيوعًا والأكثر ضرراً. في عام 2024 ، المطورين عبر جيثب تبسيط العملية باستخدام الحماية السرية ، والكشف عن أكثر من 39 مليون تسرب سري.
لنبدأ ببعض السياق. تقليديًا ، قد يستغرق الأمر أشهرًا للكشف عن مفتاح API المنسي لأن مراجعات الأمان لن تحدث إلا بعد انتهاء ميزة جديدة. قد لا يتم اكتشافه حتى يستغلها شخص ما في البرية. في هذه الحالة ، يجب عليك العودة إلى الكود ، بعد فترة طويلة من الانتقال إلى العمل على ميزات أخرى ، وإعادة كتابتها.
لكن Github Secret Protection ، المعروف سابقًا باسم المسح السري ، يمكن أن تصطاد أنواعًا كثيرة من الأسرار قبل أن تتسبب في ألم حقيقي. تعمل الحماية السرية عند دفع الرمز إلى مستودعك وستحذرك إذا وجدت شيئًا مشبوهًا. ستعرف على الفور أن هناك خطأ ما ويمكنه إصلاحه بينما الرمز جديد في عقلك. حماية الدفع – التي تمنع المساهمين من دفع الأسرار إلى مستودع وتولد تنبيهًا كلما تجاوز المساهم في الكتلة – يوضح لك بالضبط المكان الذي يتمكن من إصلاحه قبل أن يكون هناك أي فرصة في الوقوع في الأيدي الخطأ. إذا كان السر جزءًا من بيئة اختبار أو أن يكون التنبيه إيجابيًا كاذبًا ، فيمكنك تجاوز التنبيه بسهولة ، لذلك لن يبطئك أبدًا دون داع.
ما لا يتعين عليك فعله هو القفز إلى تطبيق آخر أو ثلاثة لقراءة عن تنبيه الضعف أو مهمة إصدار.
بعد الالتزام: تعتمد
https://www.youtube.com/watch؟v=8wnr-eoilce
حسنًا ، لذا فقد ارتكبت الآن بعض التعليمات البرمجية. من المحتمل أن يحتوي على تبعيات مفتوحة المصدر أو أكثر.
المصدر المفتوح أمر بالغ الأهمية بالنسبة لعملك في مجال التطوير اليومي ، ولكن هناك ضعف واحد في التبعية العابرة-أي أن تبعيات تبعياتك-يمكن أن تعرض مؤسستك للخطر (وهو أمر لا تريد الخروج في مراجعة الأداء).
تساعد Arepabot ، أدلةنا المجانية لأمن سلسلة التوريد الآلية للبرامج ، على السطح الثغرافي في تبعياتك في التعليمات البرمجية التي ارتكبتها. ومرة أخرى ، يجد مشاكل على الفور – وليس عندما يكون لدى فريق الأمن فرصة لمراجعة ميزة مكتملة. إذا كان هناك إصلاح موجود بالفعل ، فسيقوم Crepabot بإنشاء طلب سحب لك ، مما يتيح لك إصلاح المشكلات دون مقاطعة سير العمل.
تعتمد الآن على البيانات لمساعدتك على تحديد أولويات الإصلاحات. على وجه التحديد ، التنبيهات قم الآن بتضمين بيانات نظام تسجيل التنبؤ (EPSS) استغلال من المنتدى العالمي لفرق الاستجابة والأمن الحوادث لمساعدتك في تحديد أولويات التنبيهات بناءً على احتمال الاستغلال. 10 ٪ فقط من تنبيهات الضعف لديها درجة EPSS أعلى من 0.95 ٪ ، لذلك يمكنك التركيز على إصلاح هذه المجموعة الفرعية الأصغر من نقاط الضعف الأكثر إلحاحا. يمكن أن يجعل تراكمك أسهل في إدارتك وإبعادك من قضاء الوقت في المشكلات منخفضة المخاطر.
عند طلب السحب: أمان الرمز
https://www.youtube.com/watch؟v=RyqMaioDKCU
لقد ارتكبت بعض التعليمات البرمجية ، فأنت واثق من أنك لم تسرب أي أسرار ، ولا تعتمد على التبعيات مع نقاط ضعف معروفة. لذلك ، بطبيعة الحال ، يمكنك إنشاء طلب سحب. تقليديًا ، قد يُتوقع منك تشغيل بعض المبيدات وأدوات المسح الأمنية بنفسك ، وربما تبديل بين عدد من الأدوات المتباينة. بفضل إجراءات GitHub منصة الأتمتة ، يحدث كل هذا بمجرد تقديم طلب السحب الخاص بك.
يمكنك تشغيل مجموعة متنوعة من أدوات الأمان المختلفة باستخدام الإجراءات أو Security Service Service Github Code Security (المعروف سابقًا باسم مسح الكود). يحول CodeQL لتحليل التحليل الثابت الدلالي رمزك إلى قاعدة بيانات يمكنك الاستعلام عن نقاط الضعف المعروفة على السطح وتغيراتها غير المعروفة ، وممارسات الترميز غير الآمنة ، ومشكلات جودة الكود الأخرى.
يمكنك كتابة استفسارات codeql الخاصة بك ، ولكن يوفر Github الآلاف من الاستفسارات التي تغطي الأنواع الأكثر أهمية من نقاط الضعف. تم اختيار هذه الاستعلامات لمستوى الدقة العالي ، مما يضمن معدل إيجابي خاطئ منخفض للمستخدم.
لكننا لا نعلم مشاكل فقط. نوصي الآن حلولًا لـ 90 ٪ من أنواع التنبيهات في JavaScript و TypeScript و Java و Python بفضل Github Copilot Autofix ، وهي ميزة جديدة متاحة مجانًا على المستودعات العامة أو كجزء من أمان رمز Github للمستودعات الخاصة.
دعنا نقول أنك حصلت على ثغرة في حقن SQL المزعجة (يحدث طوال الوقت). سيقوم Copilot Autofix بإنشاء طلب سحب لك مع إصلاح مقترح ، بحيث يمكنك تصحيح الضعف بسرعة. لم تعد بحاجة إلى أن تكون خبيرًا أمنيًا للعثور على إصلاح. لقد وجدنا أن الفرق التي تستخدم نقاط الضعف Autofix Autofix تصل إلى 60 ٪ أسرع ، مما يقلل بشكل كبير من الوقت المتوسط للعلاج (MTTR).
هذا ما نعنيه عندما نقول “العثور على يعني ثابت”. لا نريد أن نضع المزيد من العمل على لوحة كانبان المحملة بالفعل. تم تصميم أدوات الأمان الخاصة بنا للعلاج ، وليس فقط الكشف.
خذ هذا معك
ضع في اعتبارك أنك ربما لن تحتاج إلى لمس جميع أدوات الأمان هذه في كل مرة تلتزم بها أو تقدم طلب سحب. سوف يطفو على السطح فقط عندما يكونون بحاجة إليه وسيظلون بعيدًا عن طريقك ، ويقومون بالمسح الضوئي بهدوء لمشاكل في الخلفية.
عندما تظهر ، يظهرون لسبب وجيه. إنه عمل أقل بكثير للتعامل مع نقاط الضعف عند نقطة الالتزام أو طلب السحب أكثر من الانتظار حتى شهور أو سنوات. ومع حلول عملية في متناول يدك ، لن تحتاج إلى قضاء الكثير من الوقت في الذهاب ذهابًا وإيابًا مع فريق الأمان الخاص بك.
كتابة رمز آمن يستغرق الجهد. ولكن من خلال دمج الحماية الأمنية والاقتراحات التلقائية بشكل غير صحيح في سير عمل التطوير الخاص بك ، فإننا نجعل التحول يسارًا أسهل وأقل استهلاكًا للوقت من الوضع الراهن.
ابحث عن أسرار مكشوفة في مؤسستك مع تقييم المخاطر السرية>
كتبه
اترك تعليقاً