تشكل التعليمات البرمجية المصدر اللبنات الأساسية لأي تطبيق أو منتج برمجي. إنه العمود الفقري لأي منظمة تتمحور حول التكنولوجيا. تحتوي التعليمات البرمجية المصدر على معلومات ملكية حول الملكية الفكرية لشركتك وتحمي البيانات التي تحافظ على تشغيل شركتك.
يسهل دمج مكونات مفتوحة المصدر تابعة لجهات خارجية على فرق البرامج استخدام الكود المتاح بالفعل ، دون الحاجة إلى التطوير من البداية. لسوء الحظ ، فإن الجانب السلبي لهذه الراحة ينطوي على مخاطر تستهدف بائعي الطرف الثالث ، مما يتسبب في هجمات سلسلة التوريد. أثناء هجوم سلسلة التوريد، يمكن لمجرمي الإنترنت إدخال برامج ضارة في تعليمات برمجية أو أنظمة إنشاء تابعة لجهات خارجية، وبالتالي تقديم برامج ضارة إلى المؤسسة والعملاء المرتبطين بها.
في هذه المدونة ، سأوضح كيفية منع البرامج الضارة في التعليمات البرمجية المصدر باستخدام MetaDefender جنكينز البرنامج المساعد.
Secure يبني مع MetaDefender البرنامج المساعد لجنكينز
ال MetaDefender بالنسبة إلى المكون الإضافي Jenkins ، يقوم Jenkins بفحص البرامج الضارة ويتحقق من شفرة المصدر والتحف بحثا عن التهديدات. يمكن للبرامج الضارة المتقدمة بسهولة تجاوز محرك واحد لمكافحة الفيروسات (AV) ، مما يعرض شفرة المصدر للخطر. تعد الإيجابية الخاطئة في اكتشاف البرامج الضارة أيضا من الآثار الجانبية الشائعة في معظم حلول AV مما يؤدي إلى إهدار جهود المعالجة والوقت والموارد.MetaDefender ل Jenkins يستخدم Metascan—تقنية المسح المتعدد – لزيادة معدلات الكشف وتقليل أوقات الكشف عن تفشي المرض لإصدارات البرامج الخاصة بك.
فيما يلي سيناريوهان يوضحان كيف يمكن للبرامج الضارة التسلل: في التعليمات البرمجية المصدر وأثناء عملية الإنشاء.
السيناريو 1: البرامج الضارة في التعليمات البرمجية المصدر
يمكن أن تكون شفرة المصدر في هذه الحالة شفرة المصدر الخاصة بك (من جهاز مطور مخترق) أو من مكتبة تابعة لجهة خارجية. في السيناريو الأول ، أردت التحقق من مستودع مكتبة تابع لجهة خارجية في GitHub. للتأكد من أن المستودع خال من التهديدات ، أضفت خطوة بناء للمسح الضوئي باستخدام ملف MetaDefender البرنامج المساعد لجينكينز.
أردت أيضا أن يعود الإصدار على أنه "فشل" إذا كانت هناك أي تهديدات في شفرة المصدر.
بعد محاولة تشغيل البنية ، تم وضع علامة "فشل" على النتيجة بسبب الملفات المتضررة التي تم اكتشافها بواسطة MetaDefender جنكينز البرنامج المساعد.
السيناريو 2: البرامج الضارة التي تم إدخالها في عملية الإنشاء
إذا كنت تعتقد أن فحص المستودع الخاص بك يكفي لحماية شفرة المصدر الخاصة بك ، فقد لا يكون ذلك صحيحا دائما. لا توجد بعض البرامج الضارة في مستودع التعليمات البرمجية المصدر الأصلي ولكن يمكن تقديمها عند تنزيل مكونات مثل التبعيات أو المكتبات. في هذا الفيديو الثاني ، عرضت مثالا على السيناريو الثاني وكيفية منعه باستخدام MetaDefender جنكينز البرنامج المساعد.
كما ترى ، لم يتم العثور على أي مشاكل بعد أن قمت بمسح شفرة المصدر في التشغيل الأول.
بعد ذلك ، أضفت خطوة بناء جديدة إلى العملية باستخدام ملف build.bat وبدأت الإنشاء مرة أخرى.
لأغراض العرض التوضيحي ، استخدمت npm لتنزيل حزمة اختبار EICAR لمحاكاة إجراء تثبيت البرامج الضارة في سيناريو واقعي. في هذه الحالة ، على الرغم من عدم وجود أي تهديدات في شفرة المصدر الأصلية ، فقد حدثت حزمة npm الضارة في البرنامج النصي أثناء الإنشاء. ال MetaDefender اكتشف المكون الإضافي Jenkins التهديد ، ووضع علامة على الإصدار على أنه فشل.
تظهر نتائج الفحص التفصيلية في MetaDefender Core.
عن OPSWAT MetaDefender لجينكينز
OPSWAT MetaDefender لـ Jenkins للتحقق من عمليات الإنشاء الخاصة بك بحثاً عن البرمجيات الضارة والأسرار قبل إطلاق تطبيقك للجمهور. مدعوماً بالقدرات الكاملة لمنصة MetaDefender - بما في ذلك أكثر من 30 محركاً رائداً لمكافحة الفيروسات, Deep CDRو Proactive DLPستفحص الإضافة MetaDefender لـ Jenkins بدقة التعليمات البرمجية المصدرية والقطع الأثرية بحثاً عن أي تهديدات. سيتم إبلاغك بالمشكلات المحتملة من خلال إجراءات الأمان المدمجة التي تساعد على منع تفشي البرامج الضارة وتسرب البيانات الحساسة. تعرّف على المزيد حول MetaDefender لـ Jenkins وغيرها من الأدوات المجانيةOPSWAT .
لمزيد من المعلومات، يرجى الاتصال بخبراء الأمن السيبراني لدينا.
