مسرد مصطلحات الأمان وDevSecOps للمدققين
يشرح هذا المسرد المصطلحات التقنية الرئيسية بلغة واضحة، مُصمَّم خصيصًا للمدققين وضباط الامتثال ومديري المخاطر. لكل مصطلح، نشرح ما هو، ولماذا يهم المدققين، وما الأدلة التي يجب البحث عنها.
CI/CD (التكامل المستمر / التسليم المستمر)
ما هو: نظام آلي يبني البرمجيات ويختبرها وينشرها في كل مرة يُجري فيها المطورون تغييرات. فكّر فيه كخط تجميع رقمي للبرمجيات — يدخل الكود من طرف، ويخرج البرمجيات المختبرة والمُحزَّمة من الطرف الآخر.
لماذا يهم المدققين: خطوط أنابيب CI/CD هي طبقة تطبيق الضوابط لتسليم البرمجيات. إذا لم تُدمج ضوابط الأمان في هذا الخط، فمن المرجح أنها لا تُطبَّق على الإطلاق. في إطار DORA وNIS2، تُصنَّف أنظمة CI/CD كأنظمة ICT منظَّمة.
الأدلة التي يجب البحث عنها: سجلات تنفيذ خط الأنابيب مع الطوابع الزمنية، سجلات إكمال المراحل الإلزامية، سير عمل الموافقات قبل النشر الإنتاجي.
خط الأنابيب
ما هو: سلسلة من الخطوات الآلية (البناء، الاختبار، المسح، النشر) التي يجب أن يمر بها الكود قبل الوصول إلى الإنتاج. كل خطوة يمكنها تطبيق بوابة أمنية.
لماذا يهم المدققين: تحدد بنية خط الأنابيب ما إذا كانت ضوابط الأمان إلزامية أم اختيارية. يمنع خط الأنابيب المُصمَّم جيدًا الكود غير المعتمد من الوصول إلى الإنتاج.
الأدلة التي يجب البحث عنها: ملفات تكوين خط الأنابيب التي تُظهر المراحل الإلزامية، سجلات نجاح/فشل البوابات، سجلات عمليات النشر المحجوبة.
SAST (اختبار أمان التطبيقات الثابت)
ما هو: تحليل آلي لكود المصدر للعثور على ثغرات أمنية قبل تشغيل البرنامج. يقرأ الكود كما يفعل المراجع، بحثًا عن أنماط الثغرات المعروفة.
لماذا يهم المدققين: يوفر SAST دليلًا على حدوث اختبار الأمان في مرحلة مبكرة من التطوير. يُثبت أن المنظمة تُحدد الثغرات بشكل استباقي بدلًا من اكتشافها في الإنتاج.
الأدلة التي يجب البحث عنها: سجلات المسح مع الطوابع الزمنية، تطبيق السياسات التي تُظهر حجب البناء عند النتائج الحرجة، تقارير الاتجاهات التي تُظهر معدلات المعالجة بمرور الوقت، عمليات الإلغاء/الاستثناء الموثقة.
DAST (اختبار أمان التطبيقات الديناميكي)
ما هو: اختبار آلي لتطبيق قيد التشغيل عن طريق محاكاة هجمات حقيقية. خلافًا لـ SAST (الذي يقرأ الكود)، يختبر DAST التطبيق كما يفعل المهاجم — من الخارج.
لماذا يهم المدققين: يتحقق DAST من أن التطبيقات المنشورة صامدة أمام أنماط الهجوم المعروفة. يُكمّل SAST باختبار السلوك الفعلي، لا مجرد الكود.
الأدلة التي يجب البحث عنها: تقارير مسح DAST مع تصنيفات الثغرات ودرجات الخطورة، الجداول الزمنية للمعالجة، جداول المسح المتكرر، التكامل مع سجلات خط أنابيب CI/CD.
SCA (تحليل تركيبة البرمجيات)
ما هو: مسح آلي للمكتبات والتبعيات من جهات خارجية المستخدمة في البرمجيات. معظم التطبيقات الحديثة تتكون من 70-90% كود من جهات خارجية — يتحقق SCA مما إذا كان هذا الكود يحتوي على ثغرات معروفة أو مخاطر ترخيص.
لماذا يهم المدققين: مخاطر المكونات من جهات خارجية مصدر قلق رئيسي في إطار المادة 28 من DORA ومتطلبات سلسلة التوريد في NIS2. يوفر SCA رؤية لسلسلة توريد البرمجيات.
الأدلة التي يجب البحث عنها: جرد التبعيات، تقارير الثغرات للمكونات من جهات خارجية، فحوصات الامتثال للترخيص، الحجب الآلي للمكونات ذات الثغرات الحرجة.
SBOM (قائمة مواد البرمجيات)
ما هو: جرد كامل وقابل للقراءة آليًا لكل مكوّن (مكتبات، أطر عمل، تبعيات) مُدرَج في تطبيق برمجي. فكّر فيه كبطاقة معلومات غذائية للبرمجيات.
لماذا يهم المدققين: بات SBOM مطلوبًا بشكل متزايد من قِبل اللوائح. يُتيح إمكانية تتبع مكونات سلسلة التوريد وتقييم الأثر السريع عند الكشف عن ثغرات جديدة.
الأدلة التي يجب البحث عنها: ملفات SBOM المولَّدة (بصيغة SPDX أو CycloneDX)، التوليد الآلي لـ SBOM في خطوط أنابيب CI/CD، سجلات الاحتفاظ بـ SBOM والإصدارات.
IAST (اختبار أمان التطبيقات التفاعلي)
ما هو: نهج اختبار هجين يراقب التطبيقات من الداخل أثناء الاختبار. يُدمَج وكيل في التطبيق ويرصد مسارات تنفيذ الكود الحقيقية لتحديد الثغرات بدقة عالية.
لماذا يهم المدققين: يوفر IAST نتائج دقيقة للغاية مع نتائج إيجابية كاذبة أقل مقارنةً بـ SAST أو DAST وحدهما، مما يعني أن النتائج أكثر قابلية للتنفيذ والتدقيق.
الأدلة التي يجب البحث عنها: سجلات نشر وكيل IAST، تقارير تنفيذ الاختبار، نتائج الثغرات مرتبطة بمسارات كود محددة.
RASP (الحماية الذاتية للتطبيق في وقت التشغيل)
ما هو: وكيل أمان مُدمَج في التطبيق يكتشف الهجمات ويحجبها في الوقت الفعلي. خلافًا لجدار الحماية (الذي يحمي المحيط)، يحمي RASP من داخل التطبيق.
لماذا يهم المدققين: يُثبت RASP وجود حماية في وقت التشغيل — ضابط كاشف وتصحيحي يعمل باستمرار، لا فقط أثناء مراحل الاختبار.
الأدلة التي يجب البحث عنها: تكوين نشر RASP، سجلات الهجمات المحجوبة، سجلات تكامل التنبيهات/الحوادث، تقارير التغطية.
حاوية / صورة / سجل
ما هو: الحاوية حزمة خفيفة ومعزولة تجمع تطبيقًا مع كل ما يحتاجه للتشغيل. الصورة هي القالب المستخدم لإنشاء الحاويات. السجل هو المستودع حيث تُخزَّن الصور وتُوزَّع.
لماذا يهم المدققين: الحاويات هي وحدة النشر القياسية في البيئات الحديثة. تمثل الصور غير الموقعة أو غير الممسوحة مخاطر سلسلة توريد. تحدد ضوابط الوصول إلى السجل من يمكنه نشر ماذا.
الأدلة التي يجب البحث عنها: تقارير مسح الصور، سجلات التوقيع/التحقق من الصور، سياسات ضبط الوصول إلى السجل، سياسات تحديث الصور الأساسية.
IaC (البنية التحتية كود)
ما هو: إدارة البنية التحتية (الخوادم، الشبكات، قواعد البيانات) من خلال ملفات كود بدلًا من التكوين اليدوي. تمر تغييرات البنية التحتية عبر نفس خط الأنابيب المستخدم لكود التطبيق.
لماذا يهم المدققين: تجعل IaC تغييرات البنية التحتية قابلة للتتبع والمراجعة والتدقيق — يمكن تطبيق نفس ضوابط الحوكمة التي تنطبق على الكود على البنية التحتية.
الأدلة التي يجب البحث عنها: قوالب IaC في نظام إدارة الإصدارات، سجلات موافقة التغيير، تقارير اكتشاف الانجراف، المسح الأمني لقوالب IaC.
إدارة الأسرار
ما هو: ممارسة التخزين الآمن وتوزيع وتدوير بيانات الاعتماد الحساسة (مفاتيح API، كلمات المرور، الشهادات، الرموز) المستخدمة من قِبل التطبيقات وخطوط الأنابيب.
لماذا يهم المدققين: الأسرار المكشوفة من أكثر إخفاقات الأمان شيوعًا وخطورةً. تُثبت إدارة الأسرار الصحيحة نضج ضبط الوصول وتُقلّل من مخاطر اختراق بيانات الاعتماد.
الأدلة التي يجب البحث عنها: نشر مخزن/مدير أسرار مركزي، سياسات التدوير الآلي، لا أسرار مُبرمَجة بشكل ثابت في الكود (يتم التحقق عبر المسح)، سجلات تدقيق الوصول.
المخرَج (Artifact)
ما هو: أي مخرج ينتجه خط أنابيب CI/CD — كود مُجمَّع، صور حاويات، حزم، توثيق. المخرجات هي ما يُنشر في الإنتاج.
لماذا يهم المدققين: تضمن سلامة المخرجات أن ما تم اختباره هو بالضبط ما يُنشر. تمثل المخرجات المُعدَّلة أو غير الموقعة مخاطر سلسلة توريد حرجة.
الأدلة التي يجب البحث عنها: سجلات توقيع المخرجات، بيانات الاستحقاق، مجاميع التحقق/التجزئة، تخزين المخرجات غير القابل للتعديل، إمكانية تتبع النشر وصولًا إلى تشغيلات خط أنابيب محددة.
السياسة كود
ما هو: ترميز سياسات الأمان والامتثال كقواعد قابلة للقراءة آليًا يُطبّقها خط أنابيب CI/CD تلقائيًا. بدلًا من وثيقة سياسة بصيغة PDF، تُصبح السياسة كودًا قابلًا للتنفيذ.
لماذا يهم المدققين: تُحوّل السياسة كود السياسات من وثائق طموحة إلى ضوابط مُطبَّقة. يوفر دليلًا على أن السياسات لا تُكتب فحسب بل تُطبَّق فعليًا.
الأدلة التي يجب البحث عنها: ملفات تعريف السياسات في نظام إدارة الإصدارات، سجلات التطبيق التي تُظهر نتائج تقييم السياسات، سجلات عمليات النشر المحجوبة بسبب انتهاكات السياسة.
التحول إلى اليسار
ما هو: نقل اختبار الأمان والضوابط إلى مراحل أبكر في دورة حياة تطوير البرمجيات — من مرحلة ما بعد النشر (يمين) إلى مراحل التصميم والبرمجة (يسار). الهدف هو اكتشاف المشكلات حين تكون أرخص وأسهل في الإصلاح.
لماذا يهم المدققين: التحول إلى اليسار دليل على وضع أمني استباقي ووقائي بدلًا من تفاعلي. تتوقع اللوائح بشكل متزايد أن يكون الأمان مُدمجًا في جميع مراحل SDLC، لا مُضافًا في النهاية.
الأدلة التي يجب البحث عنها: متطلبات الأمان في وثائق التصميم، SAST مُدمَج في سير عمل المطورين، سجلات نمذجة التهديدات، سجلات تدريب المطورين على الأمان.
DevSecOps
ما هو: نموذج تشغيلي يدمج الأمان في كل مرحلة من مراحل تطوير البرمجيات وتسليمها. يُحدد الأدوار والمسؤوليات والضوابط الآلية لضمان استمرارية الأمان — لا كمرحلة أو فريق منفصل.
لماذا يهم المدققين: DevSecOps هو إطار الحوكمة الذي يجعل أمان CI/CD مستدامًا. يحدد من المسؤول عن ماذا، وكيفية معالجة الاستثناءات، وكيفية تطبيق الضوابط.
الأدلة التي يجب البحث عنها: أدوار ومسؤوليات محددة (RACI)، تكوينات بوابات الأمان، سير عمل موافقة الاستثناء/الإلغاء، مقاييس الأمان ودورية التقارير.
فصل المهام (SoD)
ما هو: ضمان عدم قدرة شخص واحد على تطوير الكود والموافقة على نشره في الإنتاج. تتولى أدوار مختلفة مراحل مختلفة من عملية التسليم.
لماذا يهم المدققين: فصل المهام ضابط أساسي مطلوب من تقريبًا كل إطار امتثال. يمنع الاحتيال ويُقلّل من مخاطر التهديد الداخلي ويضمن المراجعة المستقلة.
الأدلة التي يجب البحث عنها: تكوينات RBAC، سجلات سير عمل الموافقات التي تُظهر معتمدين مختلفين عن مؤلفي الكود، قواعد حماية الفروع، مصفوفات أذونات النشر.
RBAC (ضبط الوصول القائم على الأدوار)
ما هو: نموذج ضبط وصول تُعيَّن فيه الأذونات للأدوار (مثل المطور، المراجع، المُنشِئ) بدلًا من المستخدمين الأفراد. يرث المستخدمون الأذونات من خلال تعيين دورهم.
لماذا يهم المدققين: RBAC هو أساس فصل المهام وأقل امتياز. يوفر نموذج وصول منظمًا وقابلًا للتدقيق.
الأدلة التي يجب البحث عنها: تعريفات الأدوار ومصفوفات الأذونات، سجلات تعيين المستخدم للدور، مراجعات الوصول الدورية، مراقبة الأدوار ذات الامتيازات.
يُصان هذا المسرد كمرجع حي. المصطلحات مُعرَّفة من منظور المدقق — مُركَّزة على التحقق من الضبط، لا تفاصيل التطبيق. للاطلاع على إرشادات التطبيق التقني، تفضل بزيارة secure-pipelines.com.
