أبرز النقاط
- هجمات سلسلة التوريد البرمجية ارتفعت بنسبة 39% وفقاً لبيانات GitHub
- أكثر من 100 مليون مطوّر يستخدمون GitHub لكن كثيرين لا يعرفون بوجود ميزات الحماية المدمجة
- تفعيل هذه الإعدادات يستغرق دقائق لكنه يوفر حماية طويلة الأمد لمستودعاتك
في عالمٍ شهد هجمات مدمّرة مثل SolarWinds وثغرة Log4j والباب الخلفي الأخير في أداة xz-utils، لم يعد تأمين مستودعات الكود رفاهية بل ضرورة وجودية. منصة GitHub التي تستضيف أكثر من 100 مليون مطوّر حول العالم أضافت ميزات أمنية متقدمة مدمجة في المنصة، لكن المفارقة أن كثيراً من المطورين ومسؤولي المشاريع لا يعلمون بوجودها أو لم يفعّلوها بعد.
لماذا أصبح تأمين GitHub أولوية قصوى في 2024؟
ارتفعت هجمات سلسلة التوريد البرمجية بنسبة 39% وفقاً لإحصاءات GitHub، وباتت المستودعات مفتوحة المصدر هدفاً رئيسياً للمهاجمين الذين يبحثون عن مفاتيح API مكشوفة أو تبعيات ضعيفة يمكن استغلالها. الخبر السار هو أن GitHub وفّرت أدوات حماية قوية، والخبر الأفضل أن تفعيلها لا يستغرق سوى دقائق معدودة.
ما هي الإعدادات الستة التي يجب تفعيلها؟
هذه الإعدادات تمثل خط الدفاع الأول لأي مستودع سواء كان خاصاً أو مفتوح المصدر، ويُنصح بتفعيلها جميعاً دون استثناء:
- Secret Scanning: يكتشف تلقائياً أي مفاتيح أو كلمات مرور أو tokens مُسرّبة في الكود قبل أن يستغلها المهاجمون
- Dependabot Alerts: ينبّهك فوراً عند اكتشاف ثغرات أمنية في المكتبات والتبعيات التي يعتمد عليها مشروعك
- Dependabot Security Updates: يُنشئ تلقائياً طلبات دمج (Pull Requests) لتحديث التبعيات الضعيفة
- Branch Protection Rules: تمنع الدمج المباشر إلى الفروع الرئيسية وتفرض مراجعة الكود قبل الدمج
- Code Scanning: يحلّل الكود بحثاً عن ثغرات أمنية باستخدام محرك CodeQL المدعوم من GitHub
- Two-Factor Authentication: يُلزم جميع المساهمين باستخدام المصادقة الثنائية للوصول إلى المستودع
كيف تفعّل هذه الإعدادات خطوة بخطوة؟
توجّه إلى صفحة Settings في مستودعك، ثم اختر قسم Security. ستجد معظم هذه الخيارات متاحة بنقرة واحدة. بالنسبة لـ Secret Scanning و Dependabot، فعّلهما من تبويب Code security and analysis. أما قواعد حماية الفروع فتجدها تحت Branches ثم Add branch protection rule. خصص دقيقتين لكل إعداد، واحصل على حماية تدوم لسنوات.
هل هذه الميزات مجانية؟
نعم، معظم هذه الميزات متاحة مجاناً للمستودعات العامة (Public Repositories). أما المستودعات الخاصة فتحتاج إلى خطة GitHub Advanced Security المدفوعة للحصول على بعض الميزات المتقدمة مثل Code Scanning الشامل. لكن حتى الخطة المجانية توفر حماية أساسية قوية تتفوق على ما يقدمه كثير من المنافسين.
رأي Logicity
تتنافس منصات استضافة الكود على ميزات الأمان: GitLab تقدم حزمة أمان مدمجة في خططها المدفوعة (تبدأ من 29 دولاراً شهرياً للمستخدم)، بينما Bitbucket من Atlassian توفر تكاملاً مع أدوات Snyk. لكن GitHub تتفوق في سهولة التفعيل والتكامل الأصلي دون إضافات خارجية. للفرق في السعودية والإمارات التي تلتزم بمعايير الامتثال مثل NCA وISO 27001، هذه الإعدادات ليست اختيارية بل متطلب أساسي.
ما الذي يميّز المطوّر الواعي أمنياً؟
جوزيف، خبير الأمن السيبراني الذي ساعدت لعبته التعليمية مفتوحة المصدر أكثر من 10 آلاف مطوّر على اكتساب مهارات الحماية، يؤكد أن الأمان يجب أن يكون مدمجاً في المشروع منذ اليوم الأول وليس فكرة لاحقة. وقد وصلت مقاطعه التعليمية إلى أكثر من 2.8 مليون مشاهدة، مما يعكس تعطّش المجتمع التقني لمحتوى أمني مبسّط وقابل للتطبيق.
الأسئلة الشائعة
هل يمكنني تفعيل إعدادات الأمان في GitHub للمستودعات القديمة؟
نعم، يمكنك تفعيلها في أي وقت من صفحة Settings > Security. ستبدأ الأدوات بفحص الكود الموجود فوراً وتنبيهك بأي مشاكل مكتشفة.
ما الفرق بين Dependabot Alerts و Security Updates؟
Alerts تُنبّهك فقط بوجود ثغرة، بينما Security Updates تُنشئ تلقائياً Pull Request لتحديث التبعية الضعيفة، مما يوفر عليك الجهد اليدوي.
هل Secret Scanning يكتشف جميع أنواع المفاتيح؟
يدعم GitHub أكثر من 200 نمط لاكتشاف مفاتيح API والتوكنات من مزودين مختلفين مثل AWS وGoogle Cloud وStripe وغيرها، ويُحدَّث باستمرار.
كيف أحمي مستودعات فريقي في السعودية من التسريبات؟
فعّل Secret Scanning و Branch Protection لجميع المستودعات، والزم الفريق بالمصادقة الثنائية. هذا يتوافق مع متطلبات الهيئة الوطنية للأمن السيبراني (NCA).
هل تحتاج مساعدة في التطبيق؟
إذا كنت تدير فريقاً تقنياً وتحتاج دعماً في تطبيق أفضل ممارسات أمان المستودعات أو التوافق مع معايير الامتثال، تواصل مع فريق Logicity للحصول على استشارة متخصصة.
فاطمة الزهراء
كاتبة تقنية متخصصة في الذكاء الاصطناعي
أُنتِج هذا المقال بمساعدة الذكاء الاصطناعي وراجعه فريق التحرير في لوجيسيتي. اعرف المزيد في سياسة التحرير.
اقرأ أيضاً

Anthropic تطلق Claude Apps Gateway لتوحيد التحكم المؤسسي في Claude Code على Google Cloud
حين يعمل مطوّر واحد أو فريق صغير مع Claude Code على Google Cloud، يكفي توجيه المتغير CLAUDE_CODE_USE_VERTEX=1 نحو مشروع GCP ومنح الدور roles/aiplatform.user، ويبقى الاستدلال داخل محيط السحابة. لكن ما


