تشكل التعليمات البرمجية المصدر اللبنات الأساسية لأي تطبيق أو منتج برمجي. إنه العمود الفقري لأي منظمة تتمحور حول التكنولوجيا. تحتوي التعليمات البرمجية المصدر على معلومات ملكية حول الملكية الفكرية لشركتك وتحمي البيانات التي تحافظ على تشغيل شركتك.
يسهل دمج مكونات مفتوحة المصدر تابعة لجهات خارجية على فرق البرمجيات استخدام الكود المتاح بالفعل، دون الحاجة إلى تطويره من الصفر. للأسف، فإن الجانب السلبي لهذه الميزة هو المخاطر التي تستهدف الموردين الخارجيين، مما يتسبب في هجمات على سلسلة التوريد. خلال هجوم على سلسلة التوريد، يمكن للمجرمين الإلكترونيين إدخال برامج ضارة في كود أو أنظمة بناء تابعة لجهات خارجية، وبالتالي توصيل البرامج الضارة إلى المؤسسة العملاءبطين العملاء
في هذه المدونة ، سأوضح كيفية منع البرامج الضارة في التعليمات البرمجية المصدر باستخدام MetaDefender جنكينز البرنامج المساعد.
Secure يبني مع MetaDefender البرنامج المساعد لجنكينز
يقوم المكون الإضافيMetaDefender Jenkins بفحص إصدارات Jenkins بحثًا عن البرامج الضارة والتحقق من وجود تهديدات في شفرة المصدر والمنتجات. يمكن للبرامج الضارة المتقدمة أن تتجاوز بسهولة محرك مكافحة فيروسات واحد (AV)، مما يعرض شفرة المصدر للخطر. كما أن الكشف الخاطئ عن البرامج الضارة هو أحد الآثار الجانبية الشائعة في معظم حلول مكافحة الفيروسات حلول إلى إهدار جهود الإصلاح والوقت والموارد. يستخدمMetaDefender Jenkins تقنية Metascan— وهي تقنية متعددة المسح — لزيادة معدلات الكشف وتقليل أوقات الكشف عن تفشي البرامج الضارة في إصدارات البرامج الخاصة بك.
فيما يلي سيناريوهان يوضحان كيف يمكن للبرامج الضارة التسلل: في التعليمات البرمجية المصدر وأثناء عملية الإنشاء.
السيناريو 1: البرامج الضارة في التعليمات البرمجية المصدر
يمكن أن تكون شفرة المصدر في هذه الحالة شفرة المصدر الخاصة بك (من جهاز مطور مخترق) أو من مكتبة تابعة لجهة خارجية. في السيناريو الأول ، أردت التحقق من مستودع مكتبة تابع لجهة خارجية في GitHub. للتأكد من أن المستودع خال من التهديدات ، أضفت خطوة بناء للمسح الضوئي باستخدام ملف MetaDefender البرنامج المساعد لجينكينز.
أردت أيضا أن يعود الإصدار على أنه "فشل" إذا كانت هناك أي تهديدات في شفرة المصدر.
بعد محاولة تشغيل البنية ، تم وضع علامة "فشل" على النتيجة بسبب الملفات المتضررة التي تم اكتشافها بواسطة MetaDefender جنكينز البرنامج المساعد.
السيناريو 2: البرامج الضارة التي تم إدخالها في عملية الإنشاء
إذا كنت تعتقد أن فحص المستودع الخاص بك يكفي لحماية شفرة المصدر الخاصة بك ، فقد لا يكون ذلك صحيحا دائما. لا توجد بعض البرامج الضارة في مستودع التعليمات البرمجية المصدر الأصلي ولكن يمكن تقديمها عند تنزيل مكونات مثل التبعيات أو المكتبات. في هذا الفيديو الثاني ، عرضت مثالا على السيناريو الثاني وكيفية منعه باستخدام MetaDefender جنكينز البرنامج المساعد.
كما ترى ، لم يتم العثور على أي مشاكل بعد أن قمت بمسح شفرة المصدر في التشغيل الأول.
بعد ذلك ، أضفت خطوة بناء جديدة إلى العملية باستخدام ملف build.bat وبدأت الإنشاء مرة أخرى.
لأغراض العرض التوضيحي ، استخدمت npm لتنزيل حزمة اختبار EICAR لمحاكاة إجراء تثبيت البرامج الضارة في سيناريو واقعي. في هذه الحالة ، على الرغم من عدم وجود أي تهديدات في شفرة المصدر الأصلية ، فقد حدثت حزمة npm الضارة في البرنامج النصي أثناء الإنشاء. ال MetaDefender اكتشف المكون الإضافي Jenkins التهديد ، ووضع علامة على الإصدار على أنه فشل.
تظهر نتائج الفحص التفصيلية في MetaDefender Core.
عن OPSWAT MetaDefender لجينكينز
يقوم OPSWAT MetaDefender Jenkins بفحص البرامج التي تقوم بإنشائها بحثًا عن البرامج الضارة والأسرار قبل إصدار تطبيقك للجمهور. مدعومًا بالقدرات الكاملة MetaDefender — بما في ذلك أكثر من 30 محركًا رائدًا لمكافحة الفيروسات،Deep CDRو Proactive DLP—سيقوم MetaDefender لـ Jenkins بفحص شفرة المصدر والتحف الخاصة بك بدقة بحثًا عن أي تهديدات. سيتم إخطارك بالمشكلات المحتملة عبر أنظمة أمان مدمجة تساعد في منع انتشار البرامج الضارة وتسرب البيانات الحساسة. تعرف على المزيد حول MetaDefender Jenkins أدواتOPSWAT الأخرى.
لمزيد من المعلومات، يرجى الاتصال بخبراء الأمن السيبراني لدينا.
