في عالم البرمجيات المتطور، تكشف تشاينغارد عن Factory 2.0، الجيل الثاني من منصتها التي تهدف إلى تعزيز أمان سلسلة توريد البرمجيات.
تشاينغارد تكشف النقاب عن Factory 2.0 لأتمتة تعزيز سلسلة توريد البرمجيات
كشفت تشاينغارد عن Factory 2.0، الجيل الثاني من منصتها للحفاظ على صور مفتوحة المصدر المحصنة والمواد البرمجية الآمنة، خلال مؤتمر Assemble في نيويورك في مارس. تحل الإطار الجديد محل الأتمتة التقليدية المعقدة القائمة على الأحداث والقواعد في المنصة الأصلية بنظام أكثر متانة يجمع بين الشيفرة القياسية وروبوتات التوفيق الوكيلة.
تم بناء Factory 2.0 بإطار عمل مُجدد مدعوم بالذكاء الاصطناعي، حيث تم تصميم وحدة التحكم الجديدة لإدارة خطوط أنابيب البرمجيات باستخدام نموذج التحكم/التوفيق لأتمتة وتوفيق المواد المفتوحة المصدر باستمرار عبر الحاويات والمكتبات وإجراءات GitHub ومهارات الوكلاء، وفقًا لما ذكرته الشركة. تم تصميم إطار DriftlessAF المفتوح المصدر للحفاظ على تحديث المواد المفتوحة المصدر المعتمدة باستمرار وتحديثها، بدلاً من الاعتماد على سكربتات هشة وقابلة للتخلص.
يأتي هذا التحديث في وقت مناسب، حيث يستمر المهاجمون في تطوير طرق جديدة لنشر البرمجيات الضارة في سلاسل توريد البرمجيات. في العام الماضي، قام المهاجمون باختراق tj‑actions/changed-files، وهو إجراء GitHub شائع على منصة التكامل المستمر/التسليم المستمر (CI/CD) الخاصة بـ GitHub، وأعادوا توجيه علامات إجراءات GitHub إلى التزام ضار. أدى ذلك إلى تسرب أسرار من أكثر من 23,000 مستودع. مؤخرًا، قام الخصوم بتحميل مهارات ضارة إلى سجلات OpenClaw التي أمرت الوكلاء البرمجيين بتثبيت Atomic macOS Stealer على أجهزة المطورين.
معاينة الإجراءات والمهارات وGuardener
تتناول إجراءات تشاينغارد، وهي كتالوج محصن من إجراءات GitHub وسير العمل المشابهة التي تم إنشاؤها وصيانتها باستمرار في Factory 2.0، تلك الطرق الهجومية.
تعتبر خطوط أنابيب CI/CD الأنظمة الأكثر امتيازًا في تطوير وصيانة البرمجيات لأنها تمتلك أذونات كتابة في المستودعات، بيانات اعتماد النشر، مفاتيح التوقيع، والوصول إلى البنية التحتية الكاملة للإنتاج الخاصة بالمنظمة. تعتبر خطوط الأنابيب أهدافًا واسعة لأن سير العمل التي تعمل داخلها غالبًا ما لا يتم فحصها، وفي كثير من الحالات، تأتي من أطراف ثالثة غير معروفة.
بدلاً من السماح للمطورين أو وكلاء الذكاء الاصطناعي بسحب إجراءات GitHub عشوائيًا من أطراف ثالثة، توفر إجراءات تشاينغارد كتالوجًا مستمرًا ومحصنًا من سير العمل الموثوقة التي تعيد تشاينغارد إنشائها من المصدر وتأمين سير العمل المستعادة عندما تظهر تحديثات أو استغلالات جديدة. تم تصميم إجراءات تشاينغارد للقضاء على المخاطر الناتجة عن التكوينات والبرمجيات الضارة في الإجراءات التابعة، وفقًا لما قاله دان لورنس، المؤسس المشارك والرئيس التنفيذي لتشاينغارد، خلال مؤتمر Assemble.
قال لورنس للحضور: “هذه بدائل آمنة بشكل افتراضي، يمكن استخدامها مباشرة في خطوط أنابيب CI/CD الخاصة بك. إنها تتيح لمطوريك ووكلائك التحرك بسرعة دون تحمل مخاطر سلسلة التوريد في خط الأنابيب نفسه.”
تشمل المعاينة حاليًا أكثر من 100 من أفضل الإجراءات من سوق GitHub، مع العشرات من الإصلاحات المحصنة التي تجعل استخدامها أسهل دون القلق بشأن مخاطر الأمان.
يقول باتريك دوناهو، رئيس المنتجات في تشاينغارد، لـ Dark Reading إن الأداة تأخذ الإجراءات كما هي وتقوم بتعزيزها.
“إذا كنت تستخدم إجراءً اليوم يقوم بتسجيل الدخول إلى نظام معين ولكنه يحتوي على بعض الشيفرات غير الآمنة، فسوف نكتشف ذلك ونعالج الأمر بحيث تكون النسخة التي تعمل بها منا أقل عرضة للاختراق،” يوضح دوناهو.
تعتبر مهارات وكيل تشاينغارد، وهي كتالوج من مهارات الوكلاء البرمجيين من الأطراف الثالثة المحصنة باستمرار، تتيح للمطورين توصيل قدرات بأمان إلى وكلاء الذكاء الاصطناعي، مجموعات تعليمات صغيرة ومودولية.
“هذه مجرد ملفات Markdown، مجرد تعليمات كان يمكنك كتابتها بنفسك،” يقول دوناهو. “تخيل لو كان بإمكانك الاستفادة من جميع الخبراء في صناعة معينة وطرح الأسئلة عليهم وطلب منهم القيام بأشياء لك. هذا هو بالضبط ما تفعله المهارات.”
تهدف المهارات التابعة إلى تعزيز قدرات وكلاء الذكاء الاصطناعي الذين يقومون بمهام محددة، مثل أتمتة المتصفح (مثل الوكلاء الذين يعملون في المتصفحات)، معالجة PDF، فحص SEO، تصميم الويب، ومراجعات جودة الشيفرة.
يعتبر Guardener من تشاينغارد وكيلًا للذكاء الاصطناعي يقوم بأتمتة عملية نقل وصيانة المواد المفتوحة المصدر الموثوقة عبر كل من سير العمل التطوير والنشر. الإصدار الأول يقوم تلقائيًا بتحويل Dockerfiles القديمة إلى صور حاوية Chainguard ذات CVE صفر. ستضيف التحديثات المستقبلية هذه القدرة إلى سكربتات التكوين الأخرى.
يقول إد ساوما، نائب رئيس المنتجات في تشاينغارد: “Guardener هو وكيلنا الذي سنضعه في بيئات العملاء للسماح لهم باستخدام صورنا بطريقة أكثر أتمتة.”
يقول عديل سعيد، رئيس قسم الأمن في Kyndryl، إن إجراءات تشاينغارد وGuardener، معًا، ستقوم بأتمتة صيانة الصور والوكلاء الآمنة.
يقول سعيد: “اليوم، فإن التبني الذي لدينا هو يدوي جدًا لأنك تذهب إلى المكتبة، وتحمل صورة، ثم تضعها في Artifactory الخاص بك. مع جزء الإجراءات، يمكننا ربطها بـ Git [أداة التحكم في الإصدار المفتوح المصدر]، بينما مع Guardener، يمكننا ربطها بالمستودع الكامل لـ Git، وأتمتة هذه العملية. أعتقد أن ذلك سيساعد بالتأكيد في التبني.”
مع Factory 2.0، تأمل تشاينغارد في تغيير طريقة تعامل المطورين مع الأمان في البرمجيات المفتوحة المصدر، مما يعزز من ثقة المستخدمين في هذه الحلول.
