مقدمة
عندما تبدأ في إنشاء مستودع على GitHub ، فإن أحد الأشياء الأولى التي يجب أن تفكر فيها هو الأمن.
في حالة إنشاء مستودع GitHub الخاص بك أو المساهمة غالبًا في المستودع ، يلزمك معرفة ما إذا كان الكود الخاص بك يحتوي على أي ثغرات أمنية. تسببت الثغرات الأمنية في المستودعات في الماضي في حدوث مشكلات أمنية. تم التأكيد على ذلك من خلال حقيقة أن اثنين من أكبر تسربات البيانات في الآونة الأخيرة -
Equifax و
Heartbleed SSL Exploit -
بدأا بمواطن الضعف مع مكونات المصدر المفتوح المقابلة التي يمكن استخدامها في المستقبل.
في هذا المنشور ، سنبحث ونحلل أربع أدوات منفصلة يمكنك استخدامها لتحديد نقاط الضعف في مستودع GitHub الخاص بك. كل واحدة من هذه الأدوات الأربع لها قوىها العظمى ، ولكن لكل منها نقاط ضعفها. ستساعدك هذه المقالة في اختيار الأداة المناسبة لمشروعك المفتوح المصدر.
تمت ترجمة هذه المقالة بدعم من برنامج EDISON ، والذي يقدم نصائح عملية للصغار ، بالإضافة إلى تصميمات البرامج وكتابة TK باللغتين الروسية والإنجليزية .
GuardRails هو تطبيق أمان فريميوم متوفر
في سوق جيثب . GuardRails يمكن أن توفر تحليل رمز ثابت وكذلك تحديد التبعيات الضعيفة. يكتب تعليقات إلى تجمع الطلب مع الثغرات الأمنية.
سيقوم التطبيق نفسه بمسح إدخالات جديدة في رمز المستخدم في الوقت الفعلي ، مما يسمح للمستخدمين باتخاذ إجراءات سريعة لإزالة نقاط الضعف فور ظهورها تقريبًا. هذا يساعد على حماية مستودع ورمز من المتسللين. فيما يتعلق بتجمع الطلبات ، ستقوم GuardRails بكتابة تعليقات على كل طلب عندما تكتشف مشكلة أمنية ، وسيتم عرض هذه المعلومات مع الفروع على لوحة معلومات GuardRails الخاصة بك.
المبدأ التوجيهي لخدمة GuardRails هو الإعداد الشامل والسريع ، حيث يمكن للمستخدمين دمج GuardRails مع جميع مستودعاتهم في دقائق. يمكنك أيضًا دمج GuardRails مع Slack بحيث تصل إليك الإخطارات بشكل أكثر كفاءة.
يدعم GuardRails حاليًا Python و Ruby و JavaScript و Solidity و Go و Java و PHP.
يساعد WhiteSource Bolt مستخدمي GitHub على إنشاء عمليات مسح لمستودعاتهم ، مما يسمح لهم بتحديد نقاط ضعف المصادر المفتوحة التي قد تظهر في التعليمات البرمجية. يتم توفيرها بواسطة WhiteSource ، وهو متخصص في مجال الأمن والترخيص والإبلاغ في مجال المصادر المفتوحة. إنهم يعملون في السوق منذ عام 2011 ويمكنهم الاعتماد على أكثر من 2.1 مليون مطور مختلف.
تعمل خدمتهم بطريقة بحيث يحدث في كل مرة يحدث فيها إجراء دفع ، يبدأ Bolt في فحص مستودعك ، ثم يخلق مشكلة لكل ثغرة أمنية تم اكتشافها. سيؤدي ذلك أيضًا إلى إنشاء مشكلات للثغرات الأمنية الجديدة التي تم اكتشافها مع مكونات التعليمات البرمجية مفتوحة المصدر الموجودة. بالإضافة إلى ذلك ، يمكن أن يمنع المكونات المستضعفة من إدخال التعليمات البرمجية عن طريق الإلغاء التلقائي لمجموعة من الطلبات التي تحتوي على ثغرات أمنية.
كما توفر Bolt لمستخدميها إمكانية الوصول إلى قاعدة بيانات WhiteSource الخاصة به ، والتي تعتبر واسعة النطاق ويعتبرها الكثيرون أغلى سوق أمان مفتوح المصدر. ستتلقى بعض المعلومات حول أي ثغرات تم اكتشافها ، بما في ذلك بيانات CVE و CVSS ، والإصلاحات المقترحة ، ومسارات المكونات الحساسة ، وروابط المساعدة.
يدعم Bolt حاليًا أكثر من 200 برنامج مختلف ، بما في ذلك Java و Python و PHP و C # و C ++ وغيرها.
LGTM هو تطبيق مشروع مفتوح المصدر مجاني يساعد المستخدمين على اكتشاف نقاط الضعف المحتملة في التعليمات البرمجية الخاصة بهم ويمنعهم من الحدوث في المقام الأول. على وجه الخصوص ، يستخدم LGTM البيانات التي تم جمعها من قبل فريق أبحاث الأمن الذي يركز على العثور على نقاط الضعف في اليوم صفر. استفاد أكثر من 700000 مطور وأكثر من 135000 مشروع مفتوح المصدر من خدمات LGTM ، وهذا المستوى من الخبرة يشهد على جودة خدماتهم. يتوفر تطبيق LGTM GitHub في سوق GitHub.
عند العمل في المستودع الخاص بك ، يمكن لـ LGTM مسح رمزك تلقائيًا ، والتحقق من نقاط الضعف و CVE التي قد تظهر. بفضل المجموعة الكبيرة من مطوري LGTM ذوي الخبرة والباحثين ، تدرك أن الخدمات التي يقدمونها يمكن أن تكون ذات فائدة كبيرة لأمان مستودعك. هذا يجعل الأمر أسهل من الحفاظ على سجل الاستعلام ، ومعه ، يمكنك اكتشاف نقاط الضعف المحتملة قبل أن تدخل قاعدة الرمز.
يحتوي LGTM حاليًا على عدد كبير من لغات البرمجة المدعومة ، التي يمتد دعمها إلى C و C ++. كوبول ، بيثون ، جافاسكريبت ، وجافا.
تنبيهات GitHub للأمان هي خدمة مجانية مقدمة إلى مالكي وأعضاء مستودعات GitHub ذات التبعيات. باستخدام الرسم البياني الخاص بالتبعية ، سيتمكن المستخدمون من معرفة متى توجد ثغرات في تبعياتهم ، وسيقدمون للمستخدمين اقتراحات لإصلاح هذه الثغرات.
عندما يقوم GitHub بإعلامك بوجود ثغرة أمنية محتملة ، ستتلقى تحديثًا سيقدم لك GitHub النصيحة بشأن أي من تبعياتك تحتاج إلى تحديث. إذا كانت هناك نسخة آمنة معروفة من التبعية ، فستختار GitHub واحدة لك باستخدام التعلم الآلي ، وسيتم تضمينها في التوصية.
عندما يتعلق الأمر بمعلومات حول كل ثغرة أمنية ، يخبرك GitHub عن الثغرة الأمنية التي يعاني منها ونطاق الإصدارات التي يؤثر عليها ومعرف CVE وأي إصلاحات مقترحة موجودة في قاعدة بيانات الثغرة الأمنية.
تدعم الخدمة حاليًا JavaScript و Ruby و Python.
اقرأ أيضا بلوق
شركة إديسون:
20 مكتبة لل
مذهلة تطبيق دائرة الرقابة الداخلية