إنشاء وإدارة جرد مكونات برمجيات الأطراف الثالثة
الوصف
إنشاء وإدارة جرد محدث لمكونات برمجيات الأطراف الثالثة المستخدمة ضمن بيئات التطوير في المؤسسة. تتضمن مكونات الأطراف الثالثة المكتبات والحزم والأطر وغيرها. مراجعة هذا الجرد للاطلاع على أي تحديثات معروفة أو ثغرات أمنية معروفة على أساس متكرر.
قائمة التحقق من التطبيق
توصيات الأدوات
أمان تطبيقات يركز على المطور مع تحليل تكوين البرمجيات وفحص الحاويات وأمان البنية التحتية كرمز واختبار الأمان الثابت المتكامل في خطوط التسليم المستمر
Snyk · اشتراك لكل مطور
مجموعة اختبار أمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي لأمان تطبيقات شامل
Synopsys · اشتراك لكل مطور
منصة سحابية أصلية لأمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي وأمان واجهات برمجة التطبيقات واختبار أمان سلسلة التوريد
Checkmarx · اشتراك لكل مطور
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
هجوم سلسلة توريد عبر مكتبة طرف ثالث مخترقة
السلامةيتم اختراق مكتبة طرف ثالث مستخدمة على نطاق واسع ومضمنة في التطبيق من قبل مهاجم يحقن كوداً خبيثاً في تحديث، ولا تكون المؤسسة مدركة لأنه ليس لديها سجل لمكونات الأطراف الثالثة.
استغلال ثغرة معروفة في تبعية غير متتبعة
السريةتُنشر ثغرة CVE حرجة لمكون مفتوح المصدر مستخدم بشكل شائع، لكن المؤسسة لا تستطيع تحديد التطبيقات المتأثرة لأنه لا توجد قائمة مواد برمجية.
مكون منتهي الدعم يبقى في تطبيق إنتاج
السلامةتصل مكتبة طرف ثالث مستخدمة في تطبيق إنتاج إلى نهاية الدعم وتتوقف عن تلقي تصحيحات أمنية، لكن هذا يمر دون ملاحظة لأنه لا يوجد سجل يتتبع حالة دعم المكونات.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود قائمة مواد برمجية (SBOM)
بدون سجل لمكونات الأطراف الثالثة، لا تستطيع المؤسسة تحديد التطبيقات التي تستخدم مكتبات معرضة أو مخترقة عند كشف تهديدات جديدة.
مخاطر مكونات أطراف ثالثة غير متتبعة
يعني غياب سجل مكونات محدث أن المخاطر المرتبطة بكل تبعية مثل الثغرات المعروفة ومشكلات الترخيص وحالة الدعم لا يتم تقييمها أو مراقبتها.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |