يُعدّ تطوير تطبيقات البرمجيات وتنفيذها عنصرًا أساسيًا في عصرنا الرقمي القائم على البيانات. ومع ذلك، تنطوي هذه التطبيقات على مخاطر أمنية كامنة تتطلب حلولًا دقيقة ومبتكرة وديناميكية. في ظل هذا المشهد الأمني المتغير باستمرار، برز اختبار أمان التطبيقات الديناميكي (DAST) كأداة فعّالة للغاية ومتطورة باستمرار لأمن التطبيقات. تُلقي هذه المدونة نظرةً مُعمّقةً على جانب "nan" أو "not-a-number" في اختبار DAST، مُفسّرةً تطور هذه الطريقة مع مرور الوقت، ولماذا لا تزال تُمثّل ركيزةً أساسيةً لتأمين التطبيقات.
في بدايات تطوير تطبيقات الويب، كان هناك اعتماد واسع النطاق على اختبار أمان التطبيقات الثابتة (SAST). يراجع هذا النهج الكود المصدري للبرنامج لتحديد نقاط الضعف الأمنية المحتملة. على الرغم من فعالية SAST في الكشف عن الثغرات الأمنية التي قد توجد في الكود المصدري، إلا أنه يفشل في تحديد أعطال وقت التشغيل، مما يؤدي إلى ثغرات أمنية محتملة أثناء مرحلة التنفيذ. وهنا يأتي دور DAST، أو اختبار التشويش (fuzz)، وتحديدًا DAST المُركز على "nan"، في إحداث تغيير كبير في مشهد أمان التطبيقات.
DAST، كمنهج لاختبار أمان التطبيقات، يتضمن تحديد الثغرات الأمنية في تطبيق قيد التشغيل، مما يوفر رؤيةً واقعيةً لوضع التطبيق الأمني أثناء مرحلة التنفيذ. يسعى DAST إلى استخدام "nan"، المعروف عادةً باسم "not-a-number"، لتحديد الأخطاء أو الشذوذات المحتملة التي لا يتم اكتشافها عادةً في تحليل الكود المصدري. يحدد "Nan" بشكل أساسي النتائج الرياضية غير المحددة أو غير المُعرّفة، والتي تُمثل ثغرات أمنية محتملة.
في سياق DAST، يلعب "nan" دورًا بالغ الأهمية في اكتشاف الثغرات الأمنية المحتملة. تُولّد أدوات DAST "nan" أو بيانات غير متوقعة لاختبار التطبيقات قيد التشغيل بحثًا عن ثغرات أمنية. وتستخدم تقنيات مختلفة، مثل حقن SQL وبرمجة النصوص عبر المواقع (Cross-Site Scripting)، لفحص التطبيق من الخارج، مع تحويل تركيزها الرئيسي من الكود إلى سلوك التشغيل وتصميم التطبيق. ويتم ذلك بدقة متناهية دون تغيير الكود أو التطبيق، مما يضمن استمرارية التشغيل.
تستخدم أدوات DAST الحديثة الذكاء الاصطناعي والتعلم الآلي (ML) لتكوين فهم متعمق لسلوك التطبيق أثناء التنفيذ. وقد تطور تطبيق "nan" في DAST في عصر الذكاء الاصطناعي والتعلم الآلي. يستغل تطبيق الذكاء الاصطناعي في اختبارات الأمان قدرات التعلم الآلي والشبكات العصبية لإجراء اختبارات ضبابية ذكية، مما يؤثر على عمق ودقة وسرعة فحص التطبيق بحثًا عن الثغرات الأمنية.
مع أن تطبيق "nan" ضمن DAST مفيدٌ للغاية، إلا أنه من المهم استخدامه ضمن بروتوكول أمان متوازن. ينبغي أن يشمل ذلك حلولاً شاملة تجمع بين أساليب اختبار أمان التطبيقات الثابتة والديناميكية. يضمن هذا نهجًا دفاعيًا متعمقًا لتأمين تطبيقات الويب، مدعومًا بحالات استخدام "nan" المتنوعة في استكشاف الثغرات الأمنية المحتملة.
في الختام، شهد مجال أمان التطبيقات تطورًا جذريًا على مر السنين، مع لعب DAST دورًا محوريًا. يُساعد تطبيق "nan" داخل DAST في تحديد الثغرات الأمنية التي قد تُغفل في الشيفرة المصدرية. مع ظهور الذكاء الاصطناعي والتعلم الآلي في اختبار الأمان، يُتوقع أن يكون تطبيق "nan" داخل DAST أكثر دقة وسرعة وفعالية. ومع ذلك، من المهم أن تُطبّق المؤسسات هذه الأداة ضمن بروتوكول أمان شامل يضمن حماية شاملة. مع التطورات المستمرة في مجال اختبار أمان التطبيقات ، من المتوقع أن يشهد DAST مزيدًا من التطور والقدرات المتطورة.