[ad_1]
تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.
تعتمد جميع المؤسسات تقريبًا ، سواء بشكل مباشر أو غير مباشر ، على البرامج التي أنشأها مجتمع المصادر المفتوحة. في الواقع ، تتضمن 97٪ من التطبيقات كودًا مفتوح المصدر ، وتقول 90٪ من المؤسسات إنها تستخدمه بطريقة ما.
ومع ذلك ، كما يتضح من Log4j و SolarWinds (وغيرها الكثير) ، يمكن أن تكون المصادر المفتوحة مليئة بالثغرات الأمنية. وفقًا لـ Gartner ، شهدت 89 ٪ من الشركات حدثًا لمخاطر الموردين في السنوات الخمس الماضية ، وتفيد تقارير Argon Security بأن هجمات سلسلة توريد البرامج نمت بأكثر من 300 ٪ بين عامي 2020 و 2021.
قالت مريم سولاكيان ، كبيرة مديري المنتجات في GitHub ، إن عمل مجتمع المصادر المفتوحة “يُستخدم في كل منتج برمجي تقريبًا ، لذا فإن تأمينه وحماية المجتمع لهما تأثير كبير”. “الثغرات في التعليمات البرمجية مفتوحة المصدر يمكن أن يكون لها تأثير مضاعف عالميًا عبر ملايين الأشخاص والخدمات التي تعتمد عليها.”
تقدم خدمة الاستضافة الرائدة العديد من الإمكانات للمساعدة في معالجة هذه المشكلة ، واليوم أعلنت عن توسعات لاثنين منها: تنبيهات الفحص السري من GitHub متاحة الآن مجانًا على جميع المستودعات العامة ، ويتم تقديم ميزة حماية الدفع الخاصة بها الآن لأنماط سرية مخصصة. كلتا الإمكانيات الآن في مرحلة تجريبية عامة.
حدث
قمة الأمن الذكي عند الطلب
تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.
مشاهدة هنا
قال سولاكيان: “بصفتها أكبر مجتمع مفتوح المصدر في العالم ، تعمل GitHub دائمًا على تسهيل استخدام المصادر المفتوحة والمساهمة فيها”. “نقدم أدوات الأمان الأكثر تقدمًا لدينا مجانًا على المستودعات العامة للمساعدة في الحفاظ على أمان المصدر المفتوح ، والحفاظ على أمان أولئك الذين يقومون ببنائها.”
حفظ الأسرار في مأمن
تعد الأسرار وبيانات الاعتماد المكشوفة السبب الأكثر شيوعًا لانتهاكات البيانات ، حيث يتم غالبًا عدم تعقبها. ويمكن أن يستغرق التعرف عليهم 327 يومًا في المتوسط.
قال سولاكيان: “غالبًا ما تستهدف الجهات الخبيثة الأسرار وبيانات الاعتماد المسربة كنقاط انطلاق لهجمات أكبر ، مثل برامج الفدية وحملات التصيد الاحتيالي”.
وتتعاون GitHub مع أكثر من 100 من مزودي الخدمة لمعالجة العديد من الأسرار المكشوفة بسرعة من خلال برنامج شريك المسح السري الخاص بها.
على سبيل المثال ، في عام 2022 ، اكتشفت خدمة الاستضافة أكثر من 1.7 مليون من الأسرار المكشوفة عبر المستودعات العامة وأبلغت عنها. بتقسيم ذلك إلى أرقام يومية ، اكتشف GitHub أكثر من 4500 سر محتمل تم تسريبه في المستودعات العامة.
الآن ، ستعمل GitHub على تمكين مطوري البرامج مفتوحة المصدر من خلال هذه التنبيهات أيضًا مجانًا. بمجرد التمكين ، يقوم GitHub بإخطار المطورين مباشرة بالأسرار المسربة في التعليمات البرمجية. وهذا يتيح لهم تتبع التنبيهات بسهولة وتحديد مصدر التسريب واتخاذ الإجراءات اللازمة. على سبيل المثال ، يمكن للمستخدم تلقي تنبيه وتتبع العلاج لمفتاح HashiCorp Vault المستضاف ذاتيًا ، حسب قول سولاكيان.
وقالت “المسح السري للمستودعات العامة سيساعد ملايين المطورين على تجنب الكشف عن بيانات اعتمادهم وكلمات المرور الخاصة بهم عن طريق الصدفة”.
بدأ اليوم طرح الإصدار التجريبي العام التدريجي للمسح السري للمستودعات العامة ، ومن المفترض أن تكون الميزة متاحة لجميع المستخدمين بحلول نهاية كانون الثاني (يناير) 2023.
قال ديفيد روس ، مهندس أمن الموظفين لدى Postmates: “من خلال الفحص السري ، وجدنا الكثير من الأشياء المهمة التي يجب معالجتها”. “على جانب التطبيقات ، غالبًا ما تكون أفضل طريقة بالنسبة لنا للحصول على رؤية للمشكلات في الكود.”
يعمل GitHub على دفع الأمان إلى الأمام
وبالمثل ، غالبًا ما تمتلك الشركات مجموعة فريدة خاصة بها من الأسرار التي يرغبون في اكتشافها عند تعرضها – وحمايتها قبل التعرض لها ، كما أوضح سولاكيان.
باستخدام الأنماط المخصصة ، تقوم المؤسسات بالبحث عن كلمات المرور في سلاسل الاتصال والمفاتيح الخاصة وعناوين URL التي تحتوي على بيانات اعتماد مضمنة (من بين حالات أخرى) عبر الآلاف من مستودعاتها.
قال سولاكيان: “لكن العلاج يستغرق وقتًا وموارد كبيرة”.
لمعالجة هذه المشكلة ، قدمت GitHub حماية الدفع لعملاء GitHub Advanced Security (GHAS) في أبريل 2022. وتسعى هذه الإمكانية إلى منع التسريبات بشكل استباقي عن طريق البحث عن الأسرار قبل ارتكابها.
قال سولاكيان إنه في الأشهر الثمانية التي تلت ذلك الإصدار ، منعت GitHub أكثر من 8000 تسريب سري عبر 100 نوع سري. من خلال الإمكانات المحسّنة التي تم الإعلان عنها اليوم ، تتمتع المؤسسات التي لديها GHAS بتغطية إضافية لما غالبًا ما يكون أهم أنماطها السرية: تلك المخصصة والمحددة داخليًا لمنظماتها.
قال سولاكيان: “مع حماية الدفع ، يمكن للشركات منع التسريبات العرضية لأكثر الأسرار أهمية”.
وأوضح سولاكيان أنه يمكن تكوين حماية الدفع للأنماط المخصصة على أساس نمط بنمط على مستوى المؤسسة أو المستودع. مع تمكين الإمكانية ، سيفرض GitHub الحظر عندما يحاول المساهمون دفع التعليمات البرمجية التي تحتوي على مطابقات للنمط المحدد. يمكن للمنظمات أن تقرر ما هي الأنماط التي يجب حمايتها بناءً على الإيجابيات الكاذبة.
قال ديفيد فلوري ، مدير هندسة البرمجيات في شركة إنتل ، إن دمج هذه الإمكانية في تدفق المطورين يوفر الوقت ويساعد في التثقيف بشأن أفضل الممارسات.
قال: “إذا حاولت الكشف عن سر ، أعرف ذلك على الفور”.
قال إن أداة GitHub تمنعه قبل أن يتم دفع سر إلى قاعدة الشفرة ؛ بينما ، إذا كان يعتمد فقط على أدوات المسح الخارجية لفحص المستودع بعد كشف السر بالفعل ، “سأحتاج إلى إلغاء السر بسرعة وإعادة تشكيل الكود الخاص بي”.
قال سولاكيان إنه مع استهداف الجهات الفاعلة للتهديد بشكل متزايد للأسرار وبيانات الاعتماد المسربة ، يستثمر عملاء GitHub المزيد من الموارد لتأمين سلسلة توريد البرامج المعقدة بشكل متزايد.
قال سولاكيان: “تسعى المؤسسات باستمرار إلى اكتشاف الثغرات وإصلاحها في وقت مبكر من دورة حياة البرنامج لتحسين الأمان العام ، وتوفير التكاليف المتعلقة بالعمل التفاعلي من قبل فرق appsec ، وتقليل الضرر”.
وقالت إن GitHub تساعد فرق أمان التطبيقات على تحديد الثغرات الأمنية ومعالجتها بسرعة في كود المستخدمين. طورت الشركة أدواتها ، والعديد منها مجاني ، للاندماج مباشرة في تدفقات عمل المطورين لتمكين تشفير أكثر أمانًا وأسرع. في الآونة الأخيرة ، قدمت أيضًا تقارير خاصة بالثغرات الأمنية لمساعدة المؤسسات على الكشف بسهولة عن الثغرات والتواصل مع القائمين على الصيانة.
قال سولاكيان: “تتمثل فلسفتنا في إتاحة جميع ميزات الأمان المتقدمة لدينا مجانًا في المستودعات العامة”.
في النهاية ، قالت ، “بصفتها موطنًا لمصادر مفتوحة و 94 مليون مطور ، يمكن لـ GitHub تطوير حالة أمان البرامج أكثر من أي فريق أو نظام أساسي آخر.”
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.
[ad_2]