قدمت Amazon Web Services مؤخرًا AWS Continuum، وهي منصة أمان متكاملة جديدة لأتمتة اكتشاف مشكلات الأمان وتنفيذها ومعالجتها عبر قواعد التعليمات البرمجية والتبعيات والتطبيقات. يتم إطلاق AWS Continuum بأربع إمكانات وكيلة، تهدف إلى دورة حياة الثغرات الأمنية بأكملها: اختبار الاختراق، ومراجعة التعليمات البرمجية، ونمذجة التهديدات، ونقاط ضعف التعليمات البرمجية.
“تم بناء Continuum على الدروس المستفادة من تشغيل الأمان عبر AWS وAmazon.com”، كما يقول شيت كابور، نائب رئيس البحث والأمن وقابلية المراقبة في AWS.
أطلقت AWS إمكانات اختبار الاختراق ومراجعة التعليمات البرمجية كجزء من AWS Security Agent خلال AWS re:Invent 2025. تتيح هذه الإمكانات للفرق تشغيل جلسات اختبار الاختراق، سواء عند الطلب أو المدمجة في سير عمل CI/CD، وتنفيذ مراجعات التعليمات البرمجية عند الطلب للتعليمات البرمجية المصدر للتطبيقات لتحديد الثغرات الأمنية والتحقق من صحة الامتثال لمعايير الشركة.
تسمح إمكانية نمذجة التهديدات للمطورين بتحليل بنيات التطبيقات من أجل تحديد التهديدات الأمنية. وينتج نظرة عامة على النظام تصف كيفية إنشاء النظام وسلوكه، ومجموعة من التهديدات التي تصف كيفية مهاجمة النظام، كل منها بمستوى خطورة وتصنيف STRIDE وتوصيات قابلة للتنفيذ.
تمكن قدرة الثغرات الأمنية الفرق من تبسيط كيفية اكتشاف الثغرات الأمنية وتحديد أولوياتها وتنفيذها ومراقبتها. وفقًا للمؤلف، يمكن للخدمة التفكير في البيئة الكاملة للشركة، بما في ذلك البيانات المنظمة وغير المنظمة، مثل البنية التحتية والأذونات وطوبولوجيا الشبكة والمستندات واتصالات الشركة وأولويات العمل.
وهي تعمل في أربع مراحل متواصلة: الاكتشاف، وتحديد الأولويات، والتحقق من الصحة، والتخفيف والمعالجة.
تقوم مرحلة الاكتشاف بتقييم الأعمال المتراكمة للشركة بالكامل وتعزيزها من خلال فحص البيئة بأكملها. يؤدي هذا إلى إنشاء قائمة شاملة من نقاط الضعف ومسارات الهجوم المرتبطة بها والتي تشكل الأساس للمرحلة التالية. في كلمته الرئيسية خلال قمة AWS بمدينة نيويورك 2026، شارك كابور أن الفريق نفذ هذه المرحلة باستخدام مبدأ حيادي النموذج، مما يسمح للخدمة بتبني أحدث النماذج بمجرد إصدارها.
أثناء مرحلتي تحديد الأولويات والتحقق من الصحة، تعد الخدمة بإظهار أهم نقاط الضعف من خلال التحقق من ما إذا كانت المكونات المتأثرة منشورة ويمكن الوصول إليها، وتقييم تأثير الأعمال إذا تم استغلال نقاط الضعف هذه. تدعي AWS أن بناء أمثلة استغلال كاملة الوظائف في بيئة معزولة يمكن أن يقلل من كمية النتائج الإيجابية الخاطئة، مما يوفر دليلًا حقيقيًا على المشكلة.
وأخيرًا، في مرحلة التخفيف والمعالجة، توصي الخدمة بالتصحيحات المحتملة لنقاط الضعف التي تم التحقق من صحتها. يمكن أن تتضمن هذه التوصيات، على سبيل المثال، تغيير الشبكة أو السياسة أو تصحيح التعليمات البرمجية. في هذه المرحلة، يمكن للخدمة أيضًا توفير رؤية حول نطاق التغيير واستراتيجيات التراجع المحتملة حيثما كان ذلك ممكنًا.
ووفقا للشركة، تعمل القدرة باستخدام نموذج الثقة المتدرج. يتيح ذلك لفرق الأمان والمنتجات اختيار مستوى الاستقلالية التي يرغبون في تفويضها للأداة عند تحليل الثغرات الأمنية في التعليمات البرمجية ومعالجتها وتنفيذها، استنادًا إلى الفئات المحددة من قبل المستخدم وملفات تعريف المخاطر.
في منشور على LinkedIn، يسلط Yan Cui، بطل AWS بدون خادم، الضوء على كيفية تداخل القدرات التي تم إطلاقها حديثًا مع الخدمات التي لا تزال متاحة في محفظة الشركة. وفي رأيه، فإن هذا يخاطر بخلق المزيد من الارتباك في المجتمع، الذي قد لا يعرف الخدمة التي يجب استخدامها في تطبيقاته.
بعد ستة أشهر فقط من إصداره، تم دمج AWS Security Agent في خط إنتاج آخر وتم تغيير علامته التجارية إلى “Continuum Pen Test” و”Continuum Code Scanning”.
لكن Security Agent لا يزال لديه صفحة المنتج الخاصة به، ولا تزال الإمكانات نفسها موجودة هناك. في الأسبوع الماضي فقط، أعلنوا أن “Security Agent يضيف نماذج التهديدات، وقوة Kiro، والمكون الإضافي Claude Code، والمزيد”.
لذا، لدينا الآن نفس الإمكانيات، واسمين للمنتجين، ولا يوجد وضوح بشأن أي منهما يجب عليك استخدامه أو ما إذا كانا سيختلفان في مرحلة ما.
هذا محير فقط.
AWS ليست الشركة الوحيدة التي تستكشف مشهد المعالجة الأمنية الوكيلة للمؤسسات. وقد تم بالفعل تقديم إمكانات مماثلة من قبل المنافسين مثل Google AI Threat Defense، وMDASH من Microsoft. في حين أعطت Google الأولوية لاستراتيجية محايدة للسحابة للسماح بعمليات الفحص الأمني على بيئات وتطبيقات سحابية متنوعة، فقد اختارت Microsoft وAWS بنيات أكثر تكاملاً داخل الأنظمة البيئية الخاصة بكل منهما.
إن قدرات اختبار الاختراق ومراجعة التعليمات البرمجية متاحة بالفعل بشكل عام بأسعار محددة، في حين أن البعض الآخر لا يزال قيد التطوير. نمذجة التهديدات قيد المعاينة، وإمكانات الثغرات الأمنية في التعليمات البرمجية قيد المعاينة المسورة. يجب على المستخدمين والشركات المهتمة بميزة الثغرات الأمنية في التعليمات البرمجية التسجيل لطلب الوصول.
