من المحتمل أن تكون صورة Docker الخاصة بك مخترقة (Trivy)

العربيةDeutschEnglishEspañolFrançaisहिन्दीBahasa Indonesia日本語한국어PortuguêsРусский中文
BBetter Stack
Computing/SoftwareSmall Business/StartupsInternet Technology

Transcript

00:00:0087% من صور Docker على Docker Hub تحتوي على ثغرات أمنية خطيرة أو عالية.
00:00:04لذا إحصائياً، الصورة التي أوشكت على نشرها؟
00:00:08أجل، من المحتمل أنها معرضة للخطر في مكان ما، وبطريقة ما.
00:00:11والجزء المخيف هو أنك لن تلاحظ ذلك لأن كل شيء لا يزال يُبنى،
00:00:14وكل شيء لا يزال يعمل. حتى يتوقف فجأة.
00:00:16هذا هو Trivi، أداة مفتوحة المصدر يمكنها العثور على المشكلة في ثوانٍ دون الحاجة لتثبيت.
00:00:21لدينا فيديوهات جديدة باستمرار، لذا تأكد من الاشتراك.
00:00:29لقد حقق Trivi انتشاراً هائلاً على GitHub بأكثر من 32,000 نجمة ويتم استخدامه أكثر فأكثر كل يوم.
00:00:34وقد تتوقع من أداة كهذه أن تفحص الحاويات فقط، لكن لا، إنها تفحص كل شيء فعلياً.
00:00:40الحاويات، أنظمة الملفات المحلية، مستودعات Git، وKubernetes، والأخطاء في الإعدادات، وأي شيء يخطر ببالك.
00:00:45بل إنها الفاحص الافتراضي في GitLab.
00:00:48هذه هي البنية التحتية.
00:00:50وفي الثلاثين ثانية القادمة أو نحو ذلك، سأوضح لك كيفية الاستفادة منها.
00:00:53إنها سهلة بما يكفي لتكون قابلة للاستخدام فعلياً أيضاً.
00:00:56حسناً، لا يوجد تثبيت هنا. الشيء الوحيد الذي فعلته هو نسخ مستودع Git الخاص بهم،
00:01:00وبما أن لديهم حاويات اختبار، يمكننا تشغيلها للاستخدام السريع.
00:01:04الشيء الآخر الوحيد الذي عليك فعله هو فتح Docker.
00:01:07الآن في واجهة الأوامر هنا في VS Code، يمكننا فقط وضع هذا السطر، والذي يمكن العثور عليه في الوثائق.
00:01:12هذا كل ما في الأمر حقاً.
00:01:14يقوم Docker الآن بسحب Trivi وتشغيله وفحص صورة Nginx الرسمية، وها قد انتهينا.
00:01:21ستظهر الثغرات الأمنية الحرجة إذا كانت موجودة أصلاً، هنا تماماً.
00:01:26هنا يبدأ الأمر في إنقاذك، لأنه إذا كان هذا خط إنتاج حقيقي،
00:01:29فأنت لا تريد تقريراً، بل تريد إيقافاً تاماً لهذا البرنامج.
00:01:32الآن، إذا وجد ثغرة أمنية حرجة، فسيعطي رمز الخروج واحد،
00:01:36وسيفشل خط الإنتاج الخاص بك، ومن ثم يتم حظر عملية البناء.
00:01:39لذا، فكرة أن الأدوات الأمنية تبطئك فقط، يغيرها Trivi هنا.
00:01:45هذا يسرع عملك لأنه يمنع الحاجة للتراجع عن التغييرات لاحقاً.
00:01:49حسناً، لكن فحص الحاويات هو الجزء السهل.
00:01:51المشاكل الحقيقية تأتي عادةً مما نرسله من كود.
00:01:54أجل، الحاويات رائعة، لكن الكود السيئ أسوأ.
00:01:57دعونا نفحص ملف Docker كارثي هنا.
00:01:59مرة أخرى، هذا موجود فقط في مستودع Trivi.
00:02:01حسناً، سأنتقل إلى مجلد Trivi demo.
00:02:03الآن يمكنك أن ترى هنا أنه يكتشف الممارسات غير الآمنة والمشاكل مثل الصور الأساسية غير الآمنة،
00:02:07ونقص توجيهات المستخدم، والإعدادات ذات الصلاحيات العالية، والتبعيات القديمة، وغيرها.
00:02:12سوف يلتقط كل هذا من أجلنا.
00:02:14هذا ما تريده في مرحلة التطامل المستمر، وليس بعد النشر بل قبل الدمج.
00:02:18لأنه إذا تم الدمج، فإنه يصبح مشكلة الجميع.
00:02:22الآن قم بإصلاح ملف Docker، وشغله مرة أخرى.
00:02:24كل شيء نظيف وجاهز للانطلاق.
00:02:26وإذا كنت تفكر، “أجل، مستودع الكود الخاص بي ضخم”، فهذا جيد.
00:02:30هذا هو المكان الذي تكون فيه هذه الأداة أكثر فائدة في الواقع،
00:02:32لأن هناك أدوات أخرى سأتطرق إليها بعد قليل.
00:02:35الآن دعونا نوجهها إلى مستودع كامل.
00:02:38فحص نظام الملفات، والتبعيات، والأخطاء في الإعدادات، وكل شيء.
00:02:41بما أنني أستخدم هذا المستودع، يمكننا معرفة ما إذا كان كل شيء على ما يرام تقريباً.
00:02:45إذاً، أين يعيش هذا في روتين العمل اليومي وماذا يفعل الناس به حقاً؟
00:02:50قد تظن أن هذه مجرد أداة فحص لمرة واحدة، لكنها ليست كذلك.
00:02:54يندمج Trivi في الأماكن التي تعمل فيها بالفعل.
00:02:56في التطوير المحلي، هناك إضافة لـ VS Code، وفي التكامل المستمر، ثلاثة أسطر في GitHub Actions.
00:03:02وإذا كنت تستخدم Kubernetes، فإن Trivi operator يفحص تلقائياً كل أعباء العمل في عنقودك.
00:03:07تحتاج فقط إلى أمر واحد في خط الإنتاج الخاص بك.
00:03:09تظهر بعض التقارير أن هجمات سلاسل التوريد ارتفعت بنسبة تزيد عن 400%.
00:03:12لطالما كان المطورون جزءاً من الجانب الأمني، لذا فهذا يساعد كثيراً.
00:03:17أفضل الأدوات الأمنية لا تبطئك، بل تمنع المشاكل وتوفر المزيد من العمل لاحقاً.
00:03:22لقد وجدت أن Trivi رائع جداً، ولكن هل هو حقاً أفضل من غيره؟
00:03:26لأن هناك البعض بالفعل.
00:03:26فلنكن صادقين، هناك فاحصات أخرى متاحة.
00:03:29ربما كنت تستخدمها بالفعل.
00:03:31لدينا Gripe، لكنه للحاويات فقط.
00:03:34ثم هناك Snyk، لكنه مكلف.
00:03:37كلاهما سببان يجعلان الكثيرين يتوجهون إلى Trivi.
00:03:41إنه سريع ومجاني.
00:03:42ويتعامل مع أشياء مثل الحاويات، والأسرار، وSBOMs، وKubernetes، وأنظمة الملفات، وكل ذلك.
00:03:48إنها بمثابة أداة متكاملة شاملة.
00:03:50لذا إذا كان هذا جديداً عليك، أو حتى لو لم يكن كذلك، ما هي آراؤك حول Trivi؟
00:03:53سنراكم في فيديو آخر.

Key Takeaway

تعتبر Trivy أداة أمنية شاملة ومجانية وسريعة تمكن المطورين من فحص البنية التحتية والكود الخاص بهم ضد الثغرات الأمنية دون إبطاء وتيرة العمل.

Highlights

87% من صور Docker على Docker Hub تحتوي على ثغرات أمنية خطيرة، مما يجعل معظم المشاريع معرضة للخطر تقريباً.

تعد أداة Trivy حلاً مفتوح المصدر وشاملاً لفحص الحاويات، وأنظمة الملفات، ومستودعات Git، وبيئات Kubernetes.

تتميز الأداة بسهولة الاستخدام حيث يمكن تشغيلها عبر Docker دون الحاجة لتثبيت معقد، وهي الفاحص الافتراضي في GitLab.

تساعد Trivy في أتمتة الأمن داخل خطوط إنتاج البرمجيات (CI/CD) عبر إيقاف البناء عند اكتشاف ثغرات حرجة.

توفر Trivy ميزات متقدمة مثل فحص الممارسات غير الآمنة في ملفات Docker وتبعيات الكود القديمة.

تعتبر Trivy بديلاً قوياً ومجانياً وسريعاً لأدوات أخرى مثل Snyk المكلفة أو Gripe المحدودة.

Timeline

واقع الثغرات الأمنية في صور Docker

يبدأ الفيديو بحقيقة صادمة تشير إلى أن الغالبية العظمى من صور Docker، بنسبة تقارب 87%، تحتوي على ثغرات أمنية خطيرة أو عالية المستوى. يوضح المتحدث أن الصور التي نستخدمها يومياً غالباً ما تكون معرضة للخطر بطرق خفية لا تظهر أثناء عمليات البناء العادية. الخطورة تكمن في أن النظام قد يعمل بشكل مثالي ظاهرياً حتى يقع هجوم مفاجئ يؤدي إلى تعطله. يتم هنا تقديم أداة Trivy كحل مفتوح المصدر يهدف لاكتشاف هذه المشكلات في ثوانٍ معدودة. يعزز هذا القسم أهمية الوعي الأمني قبل النشر الفعلي للتطبيقات.

قدرات Trivy الواسعة وانتشارها العالمي

يسلط الضوء على نجاح Trivy الكبير حيث حصدت أكثر من 32,000 نجمة على منصة GitHub وأصبحت الفاحص الافتراضي لمنصة GitLab. لا يقتصر عمل الأداة على فحص الحاويات فحسب، بل يمتد ليشمل أنظمة الملفات المحلية، ومستودعات Git، وحتى بيئات Kubernetes المعقدة. يوضح الفيديو أن Trivy قادرة على اكتشاف الأخطاء في الإعدادات البرمجية وأي خلل في البنية التحتية بشكل عام. هذه الشمولية تجعلها أداة لا غنى عنها للمطورين الذين يبحثون عن حل واحد لكل احتياجاتهم الأمنية. يشدد المتحدث على أن سهولة استخدامها هي العامل الرئيسي وراء تبنيها الواسع في مجتمع البرمجة.

كيفية تشغيل Trivy وفحص الصور رسمياً

يشرح هذا الجزء الجانب العملي من استخدام Trivy، حيث يؤكد المتحدث أنه لا حاجة لتثبيت برامج معقدة على الجهاز. من خلال نسخ مستودع Git الخاص بهم وتشغيل Docker، يمكن للمستخدم البدء في فحص الصور بسرعة فائقة عبر واجهة الأوامر في VS Code. يتم عرض مثال حي لفحص صورة Nginx الرسمية وكيف تظهر النتائج بوضوح تام أمام المطور. العملية بسيطة جداً وتتطلب سطر أوامر واحد فقط متاح في الوثائق الرسمية للأداة. يهدف هذا المقطع إلى إثبات أن الأمن لا يجب أن يكون معقداً أو يستهلك وقتاً طويلاً.

دمج الأمن في خطوط إنتاج البرمجيات (CI/CD)

يناقش المتحدث كيف يمكن لـ Trivy أن تكون صمام أمان حقيقي في بيئات العمل الإنتاجية من خلال إيقاف العمليات المعيبة. إذا اكتشفت الأداة ثغرة أمنية حرجة، فإنها تعطي رمز خروج رقم (1)، مما يؤدي إلى فشل عملية البناء التلقائي ومنع نشر الكود. هذا الإجراء يضمن عدم وصول أي برمجيات مخترقة إلى المستخدم النهائي ويحمي سمعة الشركة التقنية. الفكرة الجوهرية هنا هي أن الأدوات الأمنية لا تبطئ العمل بل تسرعه عبر منع الحاجة إلى إصلاحات طارئة وتراجعات مكلفة لاحقاً. يغير Trivy المفهوم التقليدي للأمن من كونه عائقاً إلى كونه محفزاً للجودة.

فحص ملفات Docker والممارسات البرمجية

ينتقل الفيديو للحديث عن فحص الكود نفسه، موضحاً أن الكود السيئ قد يكون أخطر من الحاوية الضعيفة. يتم عرض مثال لفحص ملف Docker يحتوي على أخطاء فادحة مثل استخدام صور أساسية غير آمنة أو منح صلاحيات عالية جداً للمستخدمين. تلتقط Trivy هذه الممارسات الخاطئة وتنبه المطور إليها قبل مرحلة الدمج (Merge) في المستودع الرئيسي. يوضح المتحدث أن إصلاح هذه المشاكل في مرحلة التطوير يوفر جهداً هائلاً على الفريق بأكمله في المستقبل. كما يشير إلى قدرة الأداة على التعامل مع المستودعات الضخمة وفحص كافة التبعيات والملفات بفاعلية مذهلة.

التكامل مع بيئات العمل والمقارنة مع المنافسين

في القسم الأخير، يوضح الفيديو كيف تندمج Trivy بسلاسة في روتين العمل اليومي عبر إضافات VS Code أو GitHub Actions أو Kubernetes operator. يتطرق المتحدث إلى الزيادة الكبيرة في هجمات سلاسل التوريد البرمجية، مما يجعل دور المطور في الأمن أكثر حيوية من أي وقت مضى. يتم إجراء مقارنة سريعة مع أدوات أخرى مثل Gripe وSnyk، حيث تبرز Trivy كخيار مفضل نظراً لكونها مجانية وشاملة لعدة وظائف في آن واحد. تنتهي الفقرة بالتأكيد على أن Trivy توفر الأسرار وشهادات SBOMs وفحص Kubernetes في حزمة واحدة سريعة. يختتم الفيديو بدعوة المشاهدين لمشاركة آرائهم حول استخدام الأداة في مشاريعهم الخاصة.

Community Posts

No posts yet. Be the first to write about this video!

Write about this video