متابعات-ميكسي نيوز
منع تسرب أسرار السحابة….أنا متأكد من أنك توافق على أنه في عالم اليوم الرقمي ، تتطلب غالبية التطبيقات التي نعمل عليها نوعًا من بيانات الاعتماد – للاتصال بقاعدة بيانات مع اسم مستخدم/كلمة مرور ، للوصول إلى برامج الكمبيوتر عبر الرموز المصرح بها ، أو مفاتيح API لاستدعاء الخدمات للمصادقة.
إن بيانات الاعتماد ، أو في بعض الأحيان يشار إليها فقط باسم “أسرار” ، هي أجزاء من المعلومات السرية على مستوى النظام أو يجب حمايتها بعناية ويمكن الوصول إليها للمستخدمين الشرعيين فقط.
نعلم جميعًا مدى أهمية إبقاء هذه الأصول آمنة لمنع إساءة استخدام الحساب والانتهاكات.
التحقق من الواقع: كم مرة تبذل جهودًا استباقية لحماية هذه الأصول؟ نادرا ما أقول.
من بين أسوأ الأخطاء التي يمكن أن يرتكبها المطور عندما يتعلق الأمر بأمان التطبيق ، فإن ارتكاب معلومات سرية عن طريق الخطأ على الإنترنت.
والمثير للدهشة أن الأسرار وبيانات الاعتماد يتم تسريبها بطريق الخطأ أكثر مما تتوقع ، وهناك أدوات ذكية تقوم بمسح المستودعات العامة بحثًا عن أسرار ملتزمة.
مع مهمة تمكين المطورين للسيطرة على سلامة الكود الخاصة بهم ، Sonarlint، تم إشراف امتداد IDE مجاني ومفتوح المصدر من Sonarsource ، عن ميزة جديدة لبرنامجها تهدف إلى مساعدة المطورين على تحديد وتسربات بيانات اعتماد مستخدم AWS أو على مستوى النظام قبل التزامهم بمستودع وتسرب من رمز أو ملفات المصدر المحلي للمستخدم.
هل هذا يبدو مثيرًا للاهتمام بالنسبة لك؟ مواصلة القراءة لمعرفة المزيد.
أولا – لماذا يجب أن تهتم
دعنا نتوقف لحظة للنظر إلى الوراء قليلاً ونرى لماذا ستكون ميزة Sonarlint الجديدة مهمة ومفيدة جدًا لأي مطور.
في مكان ما في حياتك ، ربما تكون قد استخدمت بطاقة ائتمان للشراء عبر الإنترنت وتلقيت على الفور مكالمة من شركة بطاقة الائتمان تسأل عما إذا كنت تنوي المضي قدمًا في الشراء. إذا فعلت ، لا مشكلة ، كل شيء على ما يرام.
إذا لم يكن الأمر كذلك ، فقد تم القبض على النشاط الاحتيالي قبل اكتمال المعاملة-مما يوفر لك وشركة بطاقة الائتمان الخاصة بك تعقيد الحساب الذي تم اختراقه بعد الواقع.
وينطبق الشيء نفسه على تطوير الكود.
قد يكون هناك اتصال متكرر بقاعدة بيانات قائمة على السحابة كجزء من عملية تطوير الكود والتسليم ، أو قد تحتاج إلى بيانات اعتماد للوصول إلى واجهة برمجة تطبيقات لشركة تابعة لجهة خارجية.
في هذه العملية ، هناك فرصة لبيانات اعتماد شديدة الترميز مؤقتًا لتخفيف الاستخدام ، أو قد يكون الزميل قد أضاف معلومات سرية لاختبار محلي سريع ، ثم ارتكبت هذه الملفات عن طريق الخطأ إلى مستودع عام. و …
تلك التغييرات المؤقتة دائمة الآن …. yikes! حتى مع حذف الكود بعد الواقع ، لا تزال هناك فرصة أن يقوم شخص ما بنسخة من سرك قبل التنظيف.
الشيء التالي الذي تعرفه ، شخص ما قد تعرض للخطر الحساب ، أو ما هو أسوأ من ذلك ، وقد زود هذا الفاصل الأمني الصغير بشخص ما نقطة انطلاق صغيرة لخرق بنية تحتية أكبر.
تعتبر انتهاكات هذا النوع أكثر شيوعًا وربما كارثية مما قد تدرك. كان هناك عدد من المقالات الإخبارية في العام الماضي يسلط الضوء على الحوادث التي سرقت فيها المستخدمين الخبيثين مفاتيح API المضمنة في مستودعات كود المصدر العام مثل Github و Bitbucket.
stackoverflowو أوبر ومؤخرا Shopify هي أمثلة لحوادث أمنية رفيعة المستوى حيث تم رش الأسرار في الملفات المرئية للجمهور التي أنشأت الخراب. تخيل الضرر الذي يمكن أن يحدثه لسمعة العلامة التجارية.
سيستمر حدوث خطأ بشري ، ولكن من خلال إجراء عمليات الفحص الصحيحة في الوقت المناسب ، يمكن منع الخطأ من الحدوث في المقام الأول.
توضح الحالة السابقة كيف أن تعرض “الأسرار” التي تم اكتشافها في النقطة ذات الصلة بالمقدمة ، على سبيل المثال ، أثناء البرمجة أو قبل ارتكاب رمزك ، كان من الممكن أن ينقذ الكثير من المتاعب.
أفضل مكان للكشف عن هذه المشكلات في سير عمل التنمية ومعالجتها في بداية ذلك ، أي في بيئة التطوير المتكاملة في IDE.
هناك الكثير من الشركات الكبيرة التي تعلمت هذا الدرس بالطريقة الصعبة.
القواعد المتقدمة التي تكتشف أسرار AWS في الشدة
مع الإضافة الأخيرة للقواعد الجديدة للكشف عن أسرار السحابة ، تحمي Sonarlint بيانات اعتماد مصادقة AWS وبيانات اعتماد خدمة الويب Amazon Marketplace (MWS) من التسرب علنًا. تحقق من القواعد التي حماية الرموز MWS Auth ، ومفتاح الوصول AWS ، معرف المفتاح ، ورموز الجلسة.
يحمي Sonarlint أوراق اعتمادك من التسرب العام من خلال العمل كخط دفاعي الأول.
من خلال الإبلاغ عن القضايا عند نقطة المقدمة (أي ، تحويل القضية إلى مزيد من اليسار) ، يمكنك اتخاذ إجراءات فورية ومنع التسرب في المقام الأول.
هذا أمر مهم لأن الحسابات المعرضة للخطر لا يمكن أن يكون لها تداعيات فردية أو على مستوى الموارد فحسب ، مثل إمكانية اختراق الحساب ، ولكن أيضًا عواقب سلبية على سرية عملائك.
على سبيل المثال ، يمكن استخدام رموز MWS المعرضة للخطر للوصول غير المشروع إلى قواعد البيانات التي تحتوي على معلومات العميل مثل أرقام بطاقات الائتمان والبريد الإلكتروني وعناوين الشحن وسجلات مبيعات التاجر.
مع تثبيت Sonarlint في IDE الخاص بك ، ستمكنك قواعد الكشف “السري” هذه من تواجد بيانات الاعتماد هذه في النقطة الأولى من الإدخال IE ، في رمز المصدر أو في الملفات الغاضبة اللغوية (على سبيل المثال ، XML ، YAML ، JSON) قبل أن تلتزم بإعادة الريبو.
إلى جانب تحديد مثل هذه المشكلات ، فإن Sonarlint قادر أيضًا على تقديم إرشادات واضحة حول كيفية حلها.
لديك بعد ذلك مرونة كاملة لاتخاذ الإجراءات ومعالجة الكود الذي يتم وضع علامة عليه ؛ تقرب لك خطوة واحدة من تقديم رمز آمن.
الشروع في IDE الخاص بك
يتم دعم هذه الميزة حاليًا في IDEs الشائعة مثل VS Code و Intellij Idea و Pycharm و Clion و WebStorm و Phpstorm و Rider ، مع Visual Studio و Eclipse والمزيد لمتابعة.
لبدء تأمين قاعدة الرموز الخاصة بك يمكنك تنزيلها Sonarlint لـ VS Code أو Sonarlint لـ Jetbrains Ides. أو إذا كنت تستخدم بالفعل Sonarlint في IDE الخاص بك ، يمكنك ببساطة تحديث المكون الإضافي إلى أحدث إصدار لتمكين هذه الميزة.
كخطوة تالية ، تخطط الشركة أيضًا لتوسيع وظائف اكتشاف “الأسرار” إلى مقدمي الخدمات السحابية العامة الآخرين. في المستقبل ، يمكنك أن تتوقع أن يدعم Sonarlint المزيد من مقدمي الخدمات السحابية ومنتجات SaaS ومقدمي قواعد البيانات.
يمكن للمطورين الذين يستخدمون Sonarsource Solutions – Sonarqube أو Sonarcloud تقديم الجودة والرمز الآمن تمديد تجربة أمان الكود الخاصة بهم إلى IDE.
من خلال تثبيت Sonarlint مجانًا ، لا يمكنهم فقط الاستفادة على الفور من ميزات قوية مثل الكشف السري ولكن أيضًا تحسين جودة الكود الإجمالية وأمن قاعدة الكود الخاصة بهم من خلال مشاركة القواعد وإعدادات التحليل من Sonarqube أو Sonarcloud إلى Sonarlint لتجميع فريق التطوير بأكمله على تعريف واحد لصحة الكود.
