السابق

التالي

تحديثات إطار العمل

مكتمل

يعتبر العديد من المطورين الأطر والمكتبات التي يستخدمونها لإنشاء برامجهم ليتم تحديدها في المقام الأول من خلال الميزات أو التفضيل الشخصي. ومع ذلك، فإن إطار العمل الذي تختاره هو قرار مهم، ليس فقط من منظور التصميم والوظائف، ولكن أيضا من منظور الأمان . يعد اختيار إطار عمل يتضمن ميزات أمان حديثة وإبقائه محدثا إحدى أفضل الطرق لضمان أمان تطبيقاتك.

اختر إطار العمل الخاص بك بعناية

العامل الأكثر أهمية فيما يتعلق بالأمان عند اختيار إطار العمل هو مدى الدعم الجيد الموجود فيه. ذكرت أفضل أطر العمل الترتيبات الأمنية ودعمتها بمجتمعات كبيرة تعمل على تحسين واختبار إطار العمل. لا يوجد برنامج خالٍ من الأخطاء بنسبة 100٪ أو آمن تمامًا، ولكن عند تحديد ثغرة أمنية، نريد التأكد من إغلاقها أو توفير حل بديل لها بسرعة.

غالبًا ما يكون مصطلح "مدعوم جيدًا" مرادفًا لكلمة "حديث". تميل الأطر القديمة إما إلى استبدالها أو تتلاشى شعبيتها في النهاية. حتى إذا كانت لديك خبرة كبيرة (أو العديد من التطبيقات المكتوبة) في إطار عمل قديم، فمن الأفضل اختيار مكتبة حديثة تحتوي على الميزات التي تحتاجها. تميل الأطر الحديثة إلى البناء على الدروس المستفادة من التكرارات السابقة، ما يجعل اختيارها للتطبيقات الجديدة شكلا من أشكال الحد من التهديدات السطحية. سيكون لديك تطبيق آخر للقلق بشأن ما إذا تم اكتشاف ثغرة أمنية في إطار العمل القديم الذي تتم فيه كتابة تطبيقاتك القديمة.

لمزيد من المعلومات حول التصميم الآمن وتقليل سطح التهديد، راجع Microsoft Azure Well-Architected Framework - الأمان.

الحفاظ على تحديث إطار العمل

تحديثات إصدار أطر تطوير البرامج (مثل Java Spring و.NET Core) والإصدارات الجديدة بانتظام. تتضمن هذه التحديثات إضافة ميزات جديدة، وإزالة الميزات القديمة، وإصلاحات الأمان أو التحسينات. عندما نسمح لأطر العمل لدينا أن تصبح قديمة، فإنه يخلق "الديون التقنية". كلما حصلنا على مزيد من التحديث، كلما كان الأمر أصعب وأكثر خطورة هو إحضار التعليمات البرمجية الخاصة بنا إلى أحدث إصدار. بالإضافة إلى ذلك، تمامًا مثل اختيار إطار العمل الأولي، فإن البقاء على الإصدارات القديمة من إطار العمل يفتح لك المزيد من التهديدات الأمنية التي تم إصلاحها في الإصدارات الأحدث من إطار العمل.

على سبيل المثال، من 2016-2017، تم العثور على أكثر من 30 ثغرة أمنية في إطار عمل Apache Struts. عالج فريق التطوير بسرعة هذه الثغرات الأمنية، ولكن بعض الشركات لم تطبق التصحيحات ودفعت الثمن في شكل خرق للبيانات. تأكد من إبقاء أطر العمل والمكتبات محدثة.

كيف يمكنني تحديث إطار العمل الخاص بي؟

تتطلب بعض الأطر، مثل Java أو .NET، تثبيتًا وتميل إلى الإصدار بإيقاع معروف. من الجيد مشاهدة الإصدارات الجديدة والتخطيط لإنشاء فرع من التعليمة البرمجية الخاصة بك لتجربته عند إصداره. على سبيل المثال، يحتفظ .NET Core بصفحة ملاحظات الإصدار التي يمكنك التحقق منها للعثور على أحدث الإصدارات المتوفرة.

يمكنك تحديث مكتبات أكثر تخصصا مثل أطر عمل JavaScript أو مكونات .NET من خلال مدير الحزم. NPM وWebpack هي خيارات شائعة لمشاريع الويب ويتم دعمها من قبل معظم IDEs أو أدوات البناء. في .NET، نستخدم NuGet لإدارة تبعيات المكونات الخاصة بنا. يشبه إلى حد كبير تحديث إطار العمل الأساسي، وتفريعي التعليمات البرمجية الخاصة بك، وتحديث المكونات، والاختبار تقنية جيدة للتحقق من صحة إصدار جديد من التبعية.

إشعار

dotnet تحتوي أداة سطر الأوامر على خيار add package و remove package لإضافة حزم NuGet أو إزالتها، ولكن ليس لها أمر مطابقupdate package. ولكن، اتضح أنه يمكنك تشغيل dotnet add package <package-name> في مشروعك، وسوف يقوم تلقائياً بـ ترقية الحزمة إلى أحدث إصدار. هذه طريقة سهلة لتحديث التبعيات دون الحاجة إلى فتح IDE.

الاستفادة من الأمن المدمج

تحقق دائمًا لمعرفة ميزات الأمان التي تقدمها أطر العمل الخاصة بك. لا تقم أبدا بتدحرج أمانك الخاص إذا كانت هناك تقنية أو قدرة قياسية مضمنة. بالإضافة إلى ذلك، اعتمد على الخوارزميات وسير العمل التي أثبتت جدواها، لأنه غالبًا ما تم فحصها من قبل العديد من الخبراء، وتم انتقادها وتقويتها حتى يمكنك التأكد من أنها موثوق بها وآمنة

يحتوي إطار عمل .NET Core على ميزات أمان لا حصر لها. فيما يلي بعض أماكن البدء الأساسية في الوثائق:

• المصادقة - إدارة الهوية
• التخويل
• حماية البيانات
• التكوين الآمن
• واجهات برمجة التطبيقات للتوسعة الأمنية

وقد كتب كل من هذه الميزات من قبل خبراء في مجالهم، ثم ضرب مع الاختبارات للتأكد من أنها تعمل على النحو المنشود، وفقط على النحو المنشود. وتوفر أطر العمل الأخرى ميزات مماثلة؛ تحقق مع المورد الذي يوفر إطار العمل لمعرفة ما لديهم في كل فئة.

تحذير

لا تعد كتابة عناصر التحكم في الأمان الخاصة بك، بدلا من استخدام تلك التي يوفرها إطار عملك، مضيعة للوقت فحسب، بل هي أقل أمانا.

Microsoft Defender للسحابة

عند استخدام Azure لاستضافة تطبيقات الويب الخاصة بك، سوف يحذرك Defender for Cloud إذا كانت أطر العمل الخاصة بك قديمة كجزء من علامة تبويب التوصيات. لا تنس البحث هناك من وقت لآخر لمعرفة ما إذا كانت هناك أي تحذيرات متعلقة بتطبيقاتك.

الملخص

كلما أمكن، اختر إطار عمل حديثا لإنشاء تطبيقاتك، واستخدم دائما ميزات الأمان المضمنة، وتأكد من إبقائه محدثا. ستساعد هذه القواعد البسيطة في ضمان بدء تطبيقك على أساس متين.

متابعة