ארסנל ה-DevSecOps: מאפס לגיבור

1. Gitleaks (שומר הסודות)

אל תהיו החברה שמדליפה מפתחות AWS ב-GitHub.

רוב האנשים מריצים את Gitleaks בעיוורון. המקצוענים משתמשים ב-בסיסים.

• --baseline-path: הכרטיס הזהב. הריצו סריקה חדשה, שמרו את הפלט. כעת Gitleaks מתריע רק על סודות חדשים.
• --redact: מסכו סודות שהתגלו ביומני הפלט (אחוזים 0-100). לעולם לא להדליף פעמיים.
• --enable-rule: התרכזו בסוגי סודות ספציפיים (למשל, רק מפתחות AWS) לפי מזהה.
• --follow-symlinks: אל תתנו לסודות להתחבא מאחורי קישורים סימבוליים.
• --ignore-gitleaks-allow: אל תאפשרו שימוש בהערות “דלג” מוטמעות. אכפו את הכללים.
• --max-target-megabytes: הימנעו מסריקת בלובים בינאריים ענקיים.

2. Trufflehog (המבקר)

למצוא מחרוזת שנראית כמו מפתח זה דבר אחד. לבדוק אם היא עובדת זה דבר אחר.

Trufflehog מתבלט בכך שהוא מאמת אישורים מול הספק.

• --no-verification: מצב מהיר יותר. מדלג על “בדיקה חיה” אם אתה רק רוצה ניתוח סטטי.
• --results: סנן פלט לפי verified (הסכנה האמיתית) או unknown.
• --filter-entropy: מצא מחרוזות בעלות אנטרופיה גבוהה (כנראה סיסמאות) גם ללא התאמת regex. התחל עם 3.0.
• --detector-timeout: הגבל זמן ביצוע לכל גלאי כדי למנוע תקיעות ב-CI.
• --archive-max-depth: אל תיתקע בפצצות zip מקוננות.

3. Opengrep (ניתוח סטטי מהיר)

Grep מת. יחי החיפוש המבני.

מנוע תואם Semgrep למציאת באגים באמצעות תבניות קוד, לא רק מחרוזות.

• --baseline-commit: קריטי. סרוק רק קוד ששונה מאז התחייבות ספציפית (סריקת דלתא).
• --config: טען כללים מותאמים אישית מ-YAML או מהרישום.
• --dataflow-traces: הצג את המסלול המלא של איך נתונים נעים ממקור ליעד.
• --exclude-minified-files: דלג על .min.js וקבצים דחוסים אחרים שאינם קריאים לבני אדם.
• --strict: כשל בבנייה אם התצורה אינה תקפה או אם מתרחשות שגיאות ברמת WARN.

4. Bandit (אבטחת Python)

הסטנדרט לניתוח AST של Python.

• -t / --tests: הרץ רק מזהי בדיקה ספציפיים (רשימת אישור).
• -s / --skips: דלג על מזהי בדיקה ספציפיים (רשימת דחייה).
• --severity-level: הצג רק תוצאות >= low, medium, או high.
• --confidence-level: סנן “ניחושים”—הצג רק ממצאים בעלי ביטחון גבוה.
• --ignore-nosec: ראה מה מפתחים מנסים לעקוף באמצעות # nosec.

5. Dustilock (תלות בלבול)

מנע מתוקף להזריק חבילה פרטית זדונית.

• -a: בדיקה בלבד. בדוק אם אתה פגיע לחטיפת שם חבילה מבלי לעצור את הצינור.

6. Hadolint (אינטליגנציה של Docker)

ה-Dockerfile שלך גרוע. Hadolint יודע למה.

• --trusted-registry: אבטחת שרשרת אספקה. אפשר תמונות רק מ-internal.ecr.aws.
• --strict-labels: אכוף סטנדרטים של מטא-דאטה (למשל, maintainer, cost-center).
• --ignore: השתק חוקים שלא חלים על הבנייה שלך.
• --error / --warning: מיפוי מחדש של חומרת חוקים כדי להתאים למדיניות שלך.
• --require-label: אכוף פורמטים ספציפיים של תוויות (Regex).

7. TFLint (לוגיקת Terraform)

terraform validate הוא בדיקת תחביר. TFLint הוא בדיקת לוגיקה.

• --enable-plugin: טען חוקים ספציפיים לספק (למשל, AWS, Azure) כדי לבדוק מול מפרטי API.
• --minimum-failure-severity: שלוט בסף שבירת הבנייה (Error, Warning, Notice).
• --call-module-type: סרוק מודולים all, local, או none.
• --var-file: הזרק משתנים כדי להעריך לוגיקה מותנית בצורה מדויקת.

שלב 2: שומרי הסף של CI (תן אמון, אך בדוק)

זהו חדר המלחמה. ניתוח מעמיק במהלך תהליך הבנייה.

8. Trivy (הכבד)

הסכין השוויצרית.

• --ignore-unfixed: חובה. אם אין תיקון, אל תכשיל את הבנייה. עקוב אחריה.
• --ignore-status: סנן פגיעויות עם סטטוסים ספציפיים.
• --pkg-types: התמקד בסריקות על חבילות os או תלות library.
• --offline-scan: הפעל בסביבות מנותקות מהרשת.
• --include-dev-deps: אל תתעלם מ-devDependencies—הם עדיין יכולים לסכן את סביבת הבנייה.
• --list-all-pkgs: פלט הכל. חיוני ליצירת SBOM מלא.

9. Syft (מחולל ה-SBOM)

אתה לא יכול לאבטח את מה שאתה לא יודע שיש לך.

• --enrich: הוסף מטא-נתונים מקוונים להקשר שימוש עשיר יותר (Golang, Java, וכו’).
• -s / --scope: סרוק את כל השכבות (all-layers) או רק את התמונה הסופית (squashed).
• --select-catalogers: התמקד במנהלי חבילות ספציפיים (npm, pip, apk).
• --platform: התמקד בארכיטקטורות ספציפיות (למשל, arm64).

10. Grype (סורק ה-SBOM)

לוקח את המקל מ-Syft.

• -f / --fail-on: שבור את הבנייה אם החומרה >= medium, high, וכו’.
• --only-fixed: דווח רק על פגיעויות שניתן לפעול עליהן.
• --by-cve: ארגן את הפלט לפי מזהה CVE למעקב.
• --ignore-states: התעלם מסטטוסים כלליים כמו “wontfix” או “not-affected”.

11. Checkov (ניהול IaC)

מנע תצורות שגויות בענן לפני שהן יעלו לך כסף.

• -s / --soft-fail: להתריע אך לא לשבור. הטוב ביותר ל”מצב תצפית”.
• --check / --skip-check: רשימת לבן או רשימת שחור לבדיקות ספציפיות (CKV_AWS_1).
• --skip-framework: להתעלם ממסגרות שלמות (למשל, לסרוק Terraform אך לדלג על CloudFormation).
• --enable-secret-scan-all-files: להרחיב את סריקת הסודות מעבר לקבצי הקונפיגורציה הסטנדרטיים.
• --block-list-secret-scan: להחריג קבצים ספציפיים מסורק הסודות.

12. KICS (Keeping IaC Secure)

החלופה לכיסוי רחב של IaC.

• --exclude-queries: להסיר רעש על ידי סינון מזהי שאילתות ספציפיים.
• --exclude-categories: לסנן ממצאים לפי תחום אבטחה.
• --fail-on: להגדיר אילו רמות חומרה מחזירות קוד יציאה שאינו אפס.
• --minimal-ui: פלט CLI פשוט יותר ליומנים נקיים יותר.
• --disable-secrets: לכבות סריקת סודות פנימית (להשתמש ב-Gitleaks במקום).

13. Terrascan (Policy-as-Code)

מתמחה באכיפת מדיניות רב-עננית.

• -i / --iac-type: לייעל על ידי ציון הפלטפורמה (k8s, helm, terraform).
• -t / --policy-type: לסנן מדיניות לפי ספק (aws, azure, gcp).
• --severity: להגדיר את החומרה המינימלית לדיווח.
• --non-recursive: לסרוק רק את הספרייה הנוכחית.

14. OWASP Dependency-Check (Legacy & Compliance)

העובד הכבד ל-SCA של Java ו-.NET.

• --failOnCVSS: לשבור את הבנייה אם כל ספרייה חורגת מציון CVSS (למשל, 7.0).
• --suppression: השתמש בקובץ XML כדי “להשתיק” פגיעויות ידועות כבטוחות (VEX-lite).
• --enableExperimental: השתמש במנתחים חדשים לשפות פחות נפוצות.

15. DevSkim (היגיינה רב-לשונית)

בדיקות IDE ו-CI ממוקדות מפתח.

• --rule-ids: הגבל את הניתוח לכללים ספציפיים.
• --ignore-globs: השתמש בתבניות גלוב סטנדרטיות כדי לדלג על קבצים רועשים.
• --skip-git-ignored-files: סנכרן אוטומטית עם .gitignore.
• --skip-excerpts: שמור על דוחות קטנים על ידי הסרת דוגמאות קוד.

שלב 3: זמן ריצה וארטיפקטים (הקו הסופי)

סריקת הארטיפקט הסופי או הסביבה החיה.

16. Clamscan (הגנה מפני תוכנות זדוניות)

כי לפעמים אנשים מעלים וירוסים ל-S3 שלך.

• --exclude / --exclude-dir: דלג על תבניות קבצים/תיקיות כדי לחסוך זמן.
• --detect-pua: חפש “יישומים לא רצויים פוטנציאליים” (adware, כורים).
• --detect-structured: סרוק דפוסי נתונים רגישים כמו כרטיסי אשראי/SSNs.
• --scan-pdf / --scan-html: הפעל בדיקה מעמיקה עבור סוגי מסמכים.
• --cross-fs: אפשר סריקה על פני מערכות קבצים שונות (השתמש בזהירות).

17. Nuclei (הסכין של ההאקר)

סריקה מתבנית שמרגישה לא חוקית.

• -t / --templates: הרץ קבצי תבנית או ספריות ספציפיות.
• -tags: סרוק מטרות בהתבסס על טכנולוגיה (למשל, wordpress, cve).
• -s / --severity: סנן תבניות לפי רמת השפעה.
• -fr / --follow-redirects: עקוב אחר הפניות HTTP 301/302 כדי למצוא את המטען.
• -passive: סרוק על ידי בדיקת כותרות/תשובות קיימות מבלי לשלוח “התקפות” חדשות.
• -etags fuzz: אל תכלול תבניות fuzzing בייצור.