لقد بدأت أشعر بالتعب...

العربيةDeutschEnglishEspañolFrançaisहिन्दीBahasa Indonesia한국어PortuguêsРусский中文
MMaximilian Schwarzmüller
Computing/SoftwareManagementInternet Technology

Transcript

00:00:00إنه صباح الأربعاء وقد قررت عمداً عدم إنشاء حلقة عن هجوم سلسلة التوريد الضخم، هجوم سلسلة توريد ضخم جديد حدث بالأمس وأثر على أكثر من 600 حزمة NPM، هجوم آخر من نوع “Shy Hulu”، لأنني لا أريد الحديث عن ذلك كل أسبوع.
00:00:23لكن قبل بضع ساعات استيقظت على خبر مفاده أن GitHub تحقق في اختراق حوالي 4000 مستودع داخلي بسبب تعرّض جهاز أحد الموظفين للاختراق من خلال إضافة ملغمة لـ VS Code.
00:00:43وأنا حقاً متعب. لا يمر أسبوع دون وقوع حوادث أمنية خطيرة كهذه. في الأسبوع الماضي شهدنا موجة هجوم سلسلة التوريد المتعلقة بـ Tanstack، وهذا الأسبوع شهدنا هجوماً آخر والآن لدينا هجوم GitHub هذا، وحتى الآن وبناءً على ما كشفت عنه GitHub، فقد
00:01:07بين قوسين، أثر على مستودعاتهم، أي تسريب حوالي 4000 مستودع داخلي، ليست مستودعات عملاء، وليست مستودعات عملاء خاصة، بل مجرد مستودعات GitHub داخلية، ولكن لا يزال بالكاد يمر أسبوع دون وقوع حادث جديد كهذا.
00:01:27وأعني أننا لدينا أيضاً كل هذه الثغرات الأمنية التي يتم اكتشافها، كما حدث مجدداً مع GitHub، تلك التي تم اكتشافها قبل بضعة أسابيع والتي سمحت بتنفيذ تعليمات برمجية عن بُعد.
00:01:38لقد تم اكتشافها وإصلاحها قبل أن يتم استغلالها، لكن الأمن السيبراني أصبح بوضوح قضية ضخمة، وأعلم أنني تحدثت عن هذا من قبل وتحدثت عن دور الذكاء الاصطناعي وكل ذلك الذي بالطبع هو دور ضخم لأن الذكاء الاصطناعي يساعد في العثور على الثغرات الأمنية،
00:02:00ويساعد في كتابة تعليمات برمجية خبيثة، ويساعد في شن هجمات سلسلة التوريد، ويجعل تلك الهجمات أكثر جاذبية للمهاجمين نظراً لوجود الكثير من الأشخاص الجدد الذين يرسلون تعليمات برمجية، هناك تعليمات برمجية تُكتب أكثر من أي وقت مضى، وهناك وكلاء يكتبون التعليمات البرمجية ويقومون بتثبيت الحزم، إنها غابة من الفوضى هناك الآن.
00:02:24إنه جدول زمني مزعج حقاً، سأقول ذلك. أنا موافق تماماً على أنه يجب عليك التكيف مع وجود الذكاء الاصطناعي، وأنه يجب عليك تعلم كيفية العمل بهذه الأدوات.
00:02:40وهذا ما أفعله منذ عدة أشهر، ولهذا السبب أنشأت دورات تدريبية حول Claude Code أو Codex، ولكن مؤخراً أنشأ زميلي مانويل دورة حول العمل بـ Claude Code لأننا نريد مشاركة ما تعلمناه حول هذه الأدوات، وكيف نستخدمها، وكيف يمكنك ربما استخدامها لتكون أكثر فاعلية، وكيف تقوم بهذا الانتقال من كتابة التعليمات البرمجية التقليدية إلى مطور يعزز عمله بالذكاء الاصطناعي.
00:03:03لكن في الوقت نفسه لنكن صادقين جداً، أود أن أحظى بجدول زمني أبسط مع حوادث أمنية أقل، مع مديرين تنفيذيين أقل يخبرونني طوال الوقت بأن كل الأعمال المكتبية ستنتهي في غضون شهر أو نحو ذلك، لكن ها نحن هنا.
00:03:21ها نحن هنا مع حادث أمني آخر اليوم، وهو صباح الأربعاء فقط كما ذكرت، لذا سنرى ما الذي سيأتي أيضاً بقية هذا الأسبوع.
00:03:30والشيء الوحيد الذي يمكننا القيام به الآن بخلاف ترك الصناعة بالطبع، وهو بالتأكيد ما فعله بعض المطورين أو يفكرون فيه، الشيء الوحيد الذي يمكنك القيام به إذا قررت البقاء في تلك الصناعة هو بالطبع التكيف وتعلم أدوات الذكاء الاصطناعي هذه بالتأكيد، ولكن عندما يتعلق الأمر بالأمن، يجب أخذ هذا الأمر على محمل الجد حقاً.
00:03:50وأعلم أنني ذكرت هذا أيضاً من قبل في حلقات سابقة، ولكن هذا على سبيل المثال هو السبب وراء إنشائي مقطع فيديو مجانياً كاملاً على قناتي الأخرى على يوتيوب، والتي سأضع رابطها أدناه مجدداً، حيث أرشدك خلال بعض الخطوات الأساسية التي يمكنك اتخاذها للحصول على بيئة تطوير أكثر أماناً.
00:04:08وهذا يشمل استخدام مدير حزم مثل pnpm أو bun كمدير حزم يكون أكثر أماناً بشكل افتراضي. على سبيل المثال، أحدث إصدار من pnpm لديه حد أدنى لعمر الإصدار يبلغ يوماً واحداً، مما يعني أنه إذا قمت بتثبيت حزم من خلاله، فلن يسحب حزم لا يتجاوز عمرها يوماً واحداً.
00:04:29وبالتالي تقليل خطر التعرض لهجمات سلسلة التوريد، حيث أن معظمها - وليس بالضرورة كلها بالطبع، ليس لديك ضمان - لكن يتم اكتشاف معظمها بسرعة كبيرة، لذا فهذا شيء جيد، وبالطبع يمكنك تعديل كل هذه الإعدادات.
00:04:44ثم إن مديري حزم مثل هذا، وأيضاً bun على سبيل المثال، يمنعون تنفيذ النصوص البرمجية التي قد تكون مرفقة بالحزم التي تقوم بتثبيتها.
00:04:55وبعد ذلك بالطبع هناك خطوات أخرى مثل التشغيل داخل حاوية تطوير (dev container) أو على جهاز افتراضي والقيام بالتطوير هناك، وعدم تخزين الأسرار كنص عادي على جهازك.
00:05:05لكن بالطبع يجب على المرء أيضاً أن يتساءل بالنسبة لـ GitHub كيف يمكن لاختراق جهاز موظف واحد، كما يبدو، أن يؤدي إلى تسريب بيانات جماعي كهذا، لذا من الواضح أن الشركات الكبيرة، أو أي شركات لديها أكثر من مجرد عدد قليل من الموظفين، ستضطر إلى إعادة التفكير أو إعادة النظر في مدى حجم “نطاق الضرر” ومدى الضرر الذي يمكن أن يتسبب فيه موظف واحد.
00:05:31وكل ذلك يحدث في وقت تود فيه نظرياً منح وكلاء الذكاء الاصطناعي وصولاً جماعياً إلى جميع أنواع البيانات لجعلهم أكفاء، لجعل الوكلاء يزحفون عبر كميات هائلة من البيانات ويتفاعلون مع جميع أنواع الأنظمة، لذا لديك هذه الحقائق المتضاربة الآن.
00:05:53والحقيقة هي أنك في خطر كبير فقط إذا لم تكن مقيداً فيما يتعلق بالأذونات، وحقوق الوصول، وأمن البيانات، وكل تلك الأشياء الممتعة التي لم يهتم بها أحد لسنوات عديدة، لكنها الآن أصبحت جدية، فالذكاء الاصطناعي يجعل هذه الهجمات أسهل وأكثر استحقاقاً للعناء.
00:06:12أوقات ممتعة، أوقات ممتعة لتكون مطوراً، لكن مهلاً، ربما لا يمكن أن تتحسن الأمور إلا للأفضل، سنرى.

Key Takeaway

تتطلب زيادة وتيرة الهجمات السيبرانية الناتجة عن تعقيد سلسلة التوريد ودور الذكاء الاصطناعي في تسهيلها تبني ممارسات أمنية صارمة، مثل تقييد أذونات الوصول واستخدام مديري حزم آمنين مثل pnpm أو bun.

Highlights

  • GitHub يحقق في اختراق 4000 مستودع داخلي تسببت فيه إضافة ملغمة لـ VS Code على جهاز أحد الموظفين.

  • تزايد هجمات سلسلة التوريد وتكرارها الأسبوعي يستوجب إعادة تقييم أمن بيئة التطوير بشكل جذري.

  • استخدام مديري حزم مثل pnpm يقلل المخاطر عبر ميزة الحد الأدنى لعمر الإصدار الذي يبلغ يوماً واحداً.

  • تعمل أدوات مثل pnpm وbun على منع تنفيذ النصوص البرمجية الضارة المرفقة بالحزم تلقائياً.

  • يؤدي غياب القيود الصارمة على الأذونات وحقوق الوصول إلى مضاعفة حجم الضرر عند اختراق جهاز موظف واحد.

Timeline

تصاعد وتيرة الاختراقات الأمنية

  • شهدت منصة GitHub اختراق 4000 مستودع داخلي بسبب إصابة جهاز موظف بإضافة خبيثة لـ VS Code.
  • تتوالى الهجمات على سلسلة التوريد وحزم NPM بشكل أسبوعي ومكثف.
  • تزايد اكتشاف ثغرات تنفيذ التعليمات البرمجية عن بُعد يتطلب يقظة مستمرة من المطورين.

تواجه بيئة التطوير حالة من الفوضى الأمنية المستمرة، حيث أدى اختراق جهاز موظف واحد في GitHub إلى تسريب آلاف المستودعات. لا يقتصر الأمر على GitHub فقط، بل تمتد التهديدات لتشمل موجات هجمات على حزم NPM وتطبيقات مثل Tanstack، مما يجعل الأمن السيبراني تحدياً يومياً للمطورين.

تأثير الذكاء الاصطناعي على مشهد التهديدات

  • يساعد الذكاء الاصطناعي في تسريع اكتشاف الثغرات وكتابة تعليمات برمجية خبيثة.
  • تؤدي وفرة التعليمات البرمجية المولدة آلياً إلى تعقيد اكتشاف الأنشطة المشبوهة.
  • يعد الانتقال إلى استخدام وكلاء الذكاء الاصطناعي ضرورة مهنية تستوجب التكيف مع أدوات مثل Claude Code.

يساهم الذكاء الاصطناعي في زيادة كثافة التعليمات البرمجية المكتوبة، مما يفتح الباب أمام هجمات أكثر تطوراً. في حين أن تعلم هذه الأدوات أصبح ضرورياً للبقاء في الصناعة، إلا أن البيئة الحالية أصبحت أكثر عرضة للفوضى بسبب الاعتماد المتزايد على الوكلاء في كتابة الكود وتثبيت الحزم.

استراتيجيات الحماية وبيئة التطوير الآمنة

  • يوفر pnpm ميزة تقييد تثبيت الحزم التي يقل عمرها عن 24 ساعة لتقليل مخاطر هجمات سلسلة التوريد.
  • تمنع أدوات مثل bun وpnpm تنفيذ النصوص البرمجية المرتبطة بالحزم تلقائياً.
  • تتطلب حماية البيانات تقييد الأذونات وحقوق الوصول وتقليل نطاق الضرر المحتمل للموظف الفردي.

للمطورين الراغبين في الاستمرار، يجب فرض قيود صارمة على بيئة العمل. يتضمن ذلك الانتقال لاستخدام مديري حزم أكثر أماناً، تطوير البرمجيات داخل حاويات (dev containers)، وتجنب تخزين الأسرار كنصوص عادية. يجب أيضاً على الشركات إعادة التفكير في هيكلة الوصول للبيانات للحد من تأثير الاختراقات الفردية في ظل التوسع في استخدام وكلاء الذكاء الاصطناعي.

Community Posts

No posts yet. Be the first to write about this video!

Write about this video