استخدام مكونات برمجيات الأطراف الثالثة المحدثة والموثوقة
الوصف
استخدام مكونات برمجيات الأطراف الثالثة المحدثة والموثوقة. عند الإمكان، اختيار المكتبات والأطر المُعتمدة التي يتم صيانتها بشكل نشط. يجب إنشاء قائمة معتمدة من الأطر والمكتبات التي يُسمح باستخدامها في عمليات تطوير البرمجيات في المؤسسة.
قائمة التحقق من التطبيق
توصيات الأدوات
أمان تطبيقات يركز على المطور مع تحليل تكوين البرمجيات وفحص الحاويات وأمان البنية التحتية كرمز واختبار الأمان الثابت المتكامل في خطوط التسليم المستمر
Snyk · اشتراك لكل مطور
مجموعة اختبار أمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي لأمان تطبيقات شامل
Synopsys · اشتراك لكل مطور
منصة سحابية أصلية لأمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي وأمان واجهات برمجة التطبيقات واختبار أمان سلسلة التوريد
Checkmarx · اشتراك لكل مطور
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
استغلال ثغرة معروفة في مكتبة قديمة
السلامةيستغل مهاجم ثغرة موثقة جيداً في مكتبة طرف ثالث قديمة لم يحدثها فريق التطوير لأنه لا توجد عملية تتطلب الحفاظ على المكونات محدثة.
هجوم استبدال حزمة خبيثة
السلامةيحمّل مطور مكون طرف ثالث من مصدر غير موثوق يحتوي على برمجيات خبيثة مضمنة، لأنه لا توجد سياسة تتطلب الحصول على المكونات من مستودعات موثوقة.
هجوم انتحال اسم الحزمة على المستودع
السريةيثبت مطور حزمة خبيثة باسم مشابه لمكتبة شرعية من مستودع عام لأنه لا توجد عملية فحص تتحقق من المكونات قبل إدراجها في قاعدة الكود.
الثغرات (عند غياب الإجراء الوقائي)
مكونات أطراف ثالثة قديمة في الإنتاج
بدون متطلب للحفاظ على مكونات الأطراف الثالثة محدثة، تعمل التطبيقات بإصدارات قديمة تحتوي على ثغرات معروفة يمكن للمهاجمين استغلالها بسهولة باستخدام أدوات متاحة علنياً.
عدم التحقق من مصادر مكونات الأطراف الثالثة
يعني غياب متطلب المصادر الموثوقة أن المطورين قد يحصلون على مكونات من مستودعات غير متحقق منها، مما يزيد خطر تضمين كود مخترق أو خبيث.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |