فحص التعليمات البرمجية بدون عامل في Microsoft Defender for Cloud
يوفر فحص التعليمات البرمجية بدون عامل في Microsoft Defender for Cloud تغطية أمان سريعة وقابلة للتطوير لجميع المستودعات في Azure DevOps. يجد بسرعة الثغرات الأمنية في التعليمات البرمجية وإعدادات البنية الأساسية كتعليمية (IaC) دون الحاجة إلى عوامل أو تغييرات البنية الأساسية لبرنامج ربط العمليات التجارية للتكامل المستمر والنشر المستمر (CI/CD). يبسط هذا الأسلوب الإعداد والصيانة باستخدام موصل Azure DevOps واحد، ويوفر تغطية واسعة ونتائج تحليلات مستمرة ونتائج أمان قابلة للتنفيذ. فهو يتيح لفرق الأمان والتطوير التركيز على إصلاح المخاطر بسلاسة دون مقاطعة مهام سير عمل التطوير.
المتطلبات الأساسية
حالة الإصدار: معاينة عامة
حالات الاستخدام المدعومة:
السحب: السحب التجارية ل Azure
المناطق المدعومة: شرق أستراليا، كندا الوسطى، وسط الولايات المتحدة، شرق آسيا، شرق الولايات المتحدة، شمال أوروبا، السويد الوسطى، جنوب المملكة المتحدة، غرب أوروبا
البيئات المدعومة: موصل Azure DevOps
الأدوار والأذونات:
لإعداد الموصل وتكوينه:
- مسؤول مجموعة المشاريع: مطلوب في Azure DevOps لتنفيذ الإعداد الأولي.
- المساهم في الاشتراك: مطلوب في اشتراك Azure لإنشاء الموصل وتكوينه.
لعرض نتائج الأمان:
- مسؤول الأمان: يمكنه إدارة إعدادات الأمان والنهج والتنبيهات ولكن لا يمكنه تعديل الموصل.
- قارئ الأمان: يمكنه عرض التوصيات والتنبيهات والنهج ولكن لا يمكنه إجراء أي تغييرات.
المزايا الرئيسية
- إدارة المخاطر الاستباقية: تحديد المخاطر في وقت مبكر من عملية التطوير. يدعم هذا ممارسات الترميز الآمنة ويقلل من الثغرات الأمنية قبل أن تصل إلى الإنتاج.
- الإعداد دون عناء: إعداد بسرعة مع الحد الأدنى من التكوين وعدم وجود تغييرات في البنية الأساسية لبرنامج ربط العمليات التجارية.
- الإدارة المركزية على نطاق المؤسسة: مسح التعليمات البرمجية تلقائيا عبر مستودعات متعددة باستخدام موصل واحد. وهذا يوفر تغطية واسعة للبيئات الكبيرة.
- رؤى سريعة للمعالجة السريعة: تلقي رؤى الثغرات الأمنية القابلة للتنفيذ مباشرة بعد الإعداد. وهذا يتيح الإصلاحات السريعة ويقلل من وقت التعرض.
- صديقة للمطور وسلسة: تعمل بشكل مستقل عن البنية الأساسية لبرنامج ربط العمليات التجارية للتكامل المستمر والنشر المستمر (CI/CD)، دون الحاجة إلى تغييرات أو مشاركة مطور مباشرة. يسمح هذا بمراقبة الأمان المستمرة دون تعطيل إنتاجية المطور أو مهام سير العمل.
قدرات الكشف عن المخاطر
يعمل فحص التعليمات البرمجية بدون عامل على تحسين الأمان من خلال تقديم توصيات أمان مستهدفة لكل من قوالب التعليمات البرمجية والبنية الأساسية كتعلم برمجي (IaC). هذا بالإضافة إلى توصيات أمان Foundational Cloud Security Posture Management (CSPM) المقدمة من خلال الموصل. تتضمن قدرات الكشف الرئيسية ما يلي:
- نقاط الضعف في التعليمات البرمجية: ابحث عن أخطاء الترميز الشائعة وممارسات الترميز غير الآمنة والثغرات الأمنية المعروفة في لغات برمجة متعددة.
- التكوينات الخاطئة للبنية الأساسية كتعليمية: الكشف عن التكوينات الخاطئة للأمان في قوالب IaC التي قد تؤدي إلى عمليات نشر غير آمنة.
يؤدي إنشاء الموصل إلى تحسين الأمان من خلال توفير مجموعة أساسية من توصيات الأمان للمستودعات والتدفقات واتصالات الخدمة.
أدوات المسح الضوئي
يستخدم مسح التعليمات البرمجية بدون عامل العديد من الأدوات مفتوحة المصدر للعثور على الثغرات الأمنية والتكوينات الخاطئة في قوالب التعليمات البرمجية والبنية الأساسية كتعليمية (IaC):
| الأداة | IaC/اللغات المدعومة | الترخيص |
|---|---|---|
| قطاع الطرق | Python | Apache 2.0 |
| Checkov | قوالب Terraform IaC وملفات خطة Terraform وقوالب AWS CloudFormation وملفات بيان Kubernetes وملفات مخطط Helm وDockerfiles وقوالب IaC Azure Azure Resource Manager (ARM) وقوالب Azure Bicep IaC وقوالب AWS SAM (نموذج تطبيق بلا خادم) وملفات Kustomize وقوالب إطار عمل بلا خادم وملفات مواصفات OpenAPI | Apache 2.0 |
| ESLint | JavaScript، TypeScript، JSX، TSX | MIT |
| محلل القالب | قوالب ARM IaC، قوالب Bicep IaC | MIT |
تدعم هذه الأدوات مجموعة واسعة من اللغات وأطر عمل IaC، ما يضمن تحليلا أمنيا شاملا عبر قاعدة التعليمات البرمجية الخاصة بك.
الأنظمة الأساسية وأنواع الملفات المدعومة
الأنظمة المتعلقة بالتحكم في الإصدار
- Azure DevOps: دعم كامل للمستودعات المتصلة عبر موصل Azure DevOps.
لغات البرمجة
- Python
- JavaScript/TypeScript
الأنظمة الأساسية والتكوينات للبنية الأساسية كتعليمية (IaC)
| منصة IaC | أنواع الملفات المدعومة | ملاحظات |
|---|---|---|
| Terraform |
.tf, .tfvars |
يدعم قوالب Terraform IaC بلغة HCL2، بما في ذلك الملفات المتغيرة في .tfvars. |
| خطة Terraform | ملفات JSON | يتضمن ملفات JSON التي تمثل التكوينات المخطط لها، وتستخدم للتحليل والمسح الضوئي. |
| AWS CloudFormation | ملفات JSON وYAML | يدعم قوالب AWS CloudFormation لتعريف موارد AWS. |
| Kubernetes | ملفات YAML وJSON | يدعم ملفات بيان Kubernetes لتعريف التكوينات في المجموعات. |
| Helm | بنية دليل مخطط Helm، ملفات YAML | يتبع بنية المخطط القياسي ل Helm؛ يدعم ملفات مخطط Helm v3. |
| Docker | الملفات المسماة Dockerfile | يدعم Dockerfiles لتكوينات الحاوية. |
| قوالب Azure ARM | ملفات JSON | يدعم قوالب Azure Resource Manager (ARM) IaC بتنسيق JSON. |
| Azure Bicep | ملفات .bicep | يدعم قوالب Bicep IaC، وهي لغة خاصة بالمجال (DSL) ل ARM. |
| AWS SAM | ملفات YAML | يدعم قوالب نموذج تطبيق AWS بلا خادم (SAM) للموارد بلا خادم. |
| Kustomize | ملفات YAML | يدعم ملفات التكوين لتخصيص Kubernetes (Kustomize). |
| Serverless Framework | ملفات YAML | يدعم القوالب لإطار عمل بلا خادم في تعريف البنيات بلا خادم. |
| OpenAPI | ملفات YAML وJSON | يدعم ملفات مواصفات OpenAPI لتعريف واجهات برمجة التطبيقات RESTful. |
تمكين فحص التعليمات البرمجية بدون عامل على مؤسسات Azure DevOps
لتوصيل مؤسسات Azure DevOps ب Defender for Cloud وتمكين مسح التعليمات البرمجية بدون عامل، راجع الإرشادات الموجودة في توصيل مؤسسات Azure DevOps. يظهر العنصر المرئي التالي عملية الإعداد السريعة والمباشرة، ويرشدك خلال كل خطوة للإلحاق السلس.
كيفية عمل فحص التعليمات البرمجية بدون عامل
يعمل فحص التعليمات البرمجية بدون عامل بشكل مستقل عن مسارات CI/CD. يستخدم موصل Azure DevOps لفحص التعليمات البرمجية وتكوينات البنية الأساسية كتعلم برمجية (IaC) تلقائيا. لا تحتاج إلى تعديل البنية الأساسية لبرنامج ربط العمليات التجارية أو إضافة ملحقات. يتيح هذا الإعداد تحليل الأمان الواسع والمستمر عبر مستودعات متعددة. تتم معالجة النتائج وعرضها مباشرة في Microsoft Defender for Cloud.
عملية المسح الضوئي
بمجرد تمكين ميزة فحص التعليمات البرمجية بدون عامل داخل موصل، تتبع عملية الفحص الخطوات التالية:
- اكتشاف المستودع: يحدد النظام تلقائيا جميع المستودعات المرتبطة من خلال موصل Azure DevOps مباشرة بعد إنشاء الموصل ثم كل 8 ساعات.
- استرداد التعليمات البرمجية: يسترد بشكل آمن أحدث التعليمات البرمجية من الفرع الافتراضي (الرئيسي) لكل مستودع للتحليل، أولا بعد إعداد الموصل ثم كل 3-4 أيام.
- التحليل: يستخدم النظام مجموعة من أدوات الفحص المضمنة المدارة والمحدثة داخل Microsoft Defender for Cloud للعثور على الثغرات الأمنية والتكوينات الخاطئة في قوالب التعليمات البرمجية وIaC.
- معالجة النتائج: يعالج نتائج الفحص من خلال الواجهة الخلفية ل Defender for Cloud لإنشاء توصيات أمان قابلة للتنفيذ.
- تسليم النتائج: يعرض النظام النتائج كتوصيات أمان في Defender for Cloud، ما يسمح لفرق الأمان بمراجعة المشكلات ومعالجتها.
تكرار المسح الضوئي ومدته
-
تكرار الفحص:
- يتم تقييم الوضع الأمني للمستودعات وخطوط الأنابيب واتصالات الخدمة عند إنشاء الموصل ثم كل 8 ساعات.
- يفحص النظام قوالب التعليمات البرمجية والبنية الأساسية كتعليمية (IaC) بحثا عن الثغرات الأمنية بعد إنشاء الموصل ثم كل 3-4 أيام.
- مدة الفحص: تنتهي عمليات الفحص عادة في غضون 15 إلى 60 دقيقة، اعتمادا على حجم المستودع وتعقيده.
عرض نتائج الفحص وإدارتها
بعد انتهاء عمليات الفحص، يمكنك الوصول إلى نتائج الأمان داخل Microsoft Defender for Cloud.
نتائج الوصول
انتقل إلى علامة التبويب توصيات الأمان في Microsoft Defender for Cloud.
راجع قائمة التوصيات، والتي تتضمن نتائج مثل:
يجب أن تحتوي مستودعات Azure DevOps على نتائج فحص التعليمات البرمجية التي تم حلها - يشير إلى الثغرات الأمنية الموجودة في مستودعات التعليمات البرمجية.
يجب أن تحتوي مستودعات Azure DevOps على بنية أساسية حيث تم حل نتائج فحص التعليمات البرمجية - تشير إلى التكوينات الخاطئة للأمان التي تم اكتشافها في ملفات قالب IaC داخل المستودعات.
قد تتضمن توصيات الأمان الأخرى التي تم إنشاؤها بواسطة موصل Azure DevOps ما يلي:
- يجب تمكين GitHub Advanced Security ل Azure DevOps (GHAzDO) في مستودعات Azure DevOps
- يجب ألا يكون لدى Azure Pipelines أسرار متاحة لإنشاءات التشعبات
- لا يجب أن تمنح اتصالات خدمة Azure DevOps حق الوصول إلى جميع المسارات
- لا يجب أن تمنح مجموعات متغيرات Azure DevOps ذات المتغيرات السرية حق الوصول إلى جميع المسارات
- لا يجب استخدام اتصالات خدمة Azure الكلاسيكية DevOps للوصول إلى اشتراك
- (معاينة) يجب أن تتطلب مستودعات Azure DevOps موافقة مراجعين كحد أدنى لدفعات التعليمات البرمجية
- (معاينة) يجب ألا تسمح مستودعات Azure DevOps للمطالبين بالموافقة على طلبات السحب الخاصة بهم
- (معاينة) يجب أن يكون لدى مشاريع Azure DevOps إنشاء مسارات كلاسيكية معطلة
- يجب ألا تمنح ملفات Azure DevOps الآمنة حق الوصول إلى جميع المسارات
حدد أي توصية للحصول على معلومات مفصلة، بما في ذلك الملفات المتأثرة ومستويات الخطورة وإرشادات المعالجة.
الفرق بين مسح التعليمات البرمجية بدون عامل ومسح البنية الأساسية لبرنامج ربط العمليات التجارية
يوفر مسح التعليمات البرمجية بدون عامل ومسح البنية الأساسية لبرنامج ربط العمليات التجارية باستخدام ملحق Microsoft Security DevOps فحص الأمان داخل Azure DevOps. فهي تخدم احتياجات مختلفة ولكنها تعمل معا بشكل جيد. يسلط الجدول التالي الضوء على الاختلافات الرئيسية لمساعدتك في اختيار الخيار الذي يناسب احتياجات الأمان والتطوير.
| الجانب | فحص التعليمات البرمجية بدون عامل | المسح الضوئي في البنية الأساسية لبرنامج ربط العمليات التجارية |
|---|---|---|
| احتواء حالة الاستخدام | يوفر تغطية واسعة مع الحد الأدنى من التعطيل للمطورين | يوفر عمليات فحص مفصلة ومتكاملة مع عناصر تحكم قابلة للتخصيص |
| نطاق الفحص والتغطية | يركز على البنية الأساسية كتعليمية (IaC) ومسح الثغرات الأمنية للتعليمات البرمجية، المجدول كل 3-4 أيام | يوفر تغطية واسعة النطاق، بما في ذلك الثنائيات وصور الحاويات، التي يتم تشغيلها في كل تشغيل للبنية الأساسية لبرنامج ربط العمليات التجارية |
| الإعداد والتكوين | لا يتطلب أي إعداد إضافي بعد إنشاء الموصل | يتطلب التثبيت والتكوين اليدوي في كل مسار CI/CD |
| تكامل البنية الأساسية لبرنامج ربط العمليات التجارية | يعمل بشكل مستقل عن البنية الأساسية لبرنامج ربط العمليات التجارية (CI/CD) دون تعديل مهام سير العمل | يتكامل داخل البنية الأساسية لبرنامج ربط العمليات التجارية CI/CD، مما يتطلب تكوينا في كل مسار |
| تخصيص الماسح الضوئي | لا يمكن تخصيص الماسحات الضوئية أو تشغيلها بشكل انتقائي | يسمح بالتخصيص باستخدام ماسحات ضوئية وفئات ولغات ومستويات حساسية وأدوات غير تابعة ل Microsoft |
| النتائج والملاحظات | يوفر الوصول إلى النتائج داخل Defender for Cloud | يقدم ملاحظات في الوقت الفعلي تقريبا داخل مسار CI/CD، مع ظهور النتائج أيضا في Defender for Cloud |
| معايير التعطل والفشل | لا يمكن كسر البنيات | يمكن تكوينه لكسر البنيات استنادا إلى خطورة نتائج الأمان |
قابلية التوسع وتأثير الأداء
يتجنب فحص التعليمات البرمجية بدون عامل إنشاء موارد في الاشتراك ولا يتطلب المسح الضوئي أثناء عملية المسار. يستخدم Azure DevOps REST API لسحب بيانات التعريف والرمز. وهذا يعني أن استدعاءات واجهة برمجة التطبيقات تحسب في حدود معدل Azure DevOps، ولكنك لا تتحمل تكاليف نقل البيانات المباشرة. تدير الخدمة عمليات الفحص للتأكد من بقائها ضمن حدود معدل Azure DevOps دون مقاطعة بيئة التطوير. يوفر هذا الأسلوب فحصا فعالا وعالي الأداء عبر المستودعات دون التأثير على مهام سير عمل DevOps. لمزيد من المعلومات، راجع معدل Azure DevOps وحدود الاستخدام.
أمان البيانات والامتثال والتحكم في الوصول لفحص التعليمات البرمجية بدون عامل
تضمن خدمة فحص التعليمات البرمجية بدون عامل من Microsoft Defender for Cloud معالجة آمنة ومتوافقة للتعليمات البرمجية الخاصة بك من خلال تنفيذ إجراءات صارمة لأمن البيانات والخصوصية:
- تشفير البيانات والتحكم في الوصول: يقوم النظام بتشفير جميع البيانات أثناء النقل باستخدام بروتوكولات قياسية في الصناعة. يمكن فقط لخدمات Defender for Cloud المعتمدة الوصول إلى التعليمات البرمجية الخاصة بك.
- موقع البيانات واستبقاءها: تحدث عمليات الفحص في نفس الموقع الجغرافي لموصل Azure DevOps (الولايات المتحدة أو الاتحاد الأوروبي) للامتثال لقوانين حماية البيانات. يعالج النظام التعليمات البرمجية فقط أثناء الفحص ويحذفها بأمان بعد ذلك، دون تخزين طويل المدى.
- الوصول إلى المستودعات: تنشئ الخدمة رمز وصول آمنا ل Azure DevOps لإجراء عمليات الفحص. يتيح هذا الرمز المميز استرداد بيانات التعريف والرمز الضروري دون إنشاء موارد في اشتراكك. يمكن فقط لمكونات Defender for Cloud الوصول، وحماية تكامل البيانات.
- دعم التوافق: تتوافق الخدمة مع المعايير التنظيمية والأمنية لمعالجة البيانات والخصوصية، وضمان المعالجة الآمنة ومسح رمز العميل ضوئيا وفقا لمتطلبات حماية البيانات الإقليمية.
تضمن هذه التدابير عملية فحص تعليمات برمجية آمنة ومتوافقة وفعالة، مع الحفاظ على خصوصية بياناتك وسلامتها.
القيود (معاينة عامة)
أثناء مرحلة المعاينة العامة، تنطبق القيود التالية:
لا يوجد فحص ثنائي: يقوم النظام بفحص التعليمات البرمجية وملفات البنية الأساسية كتعليمية (IaC) فقط.
تكرار الفحص: يقوم بفحص المستودعات كل 3 أيام.
حجم المستودع: يحد من المسح الضوئي إلى المستودعات التي تحت 1 غيغابايت.
تغطية الفرع: تغطي عمليات الفحص الفرع الافتراضي (الرئيسي) فقط.
تخصيص الأداة: لا يمكنك تخصيص أدوات الفحص.