Los repositorios de código abierto son fundamentales para ejecutar y escribir aplicaciones modernas, pero cuidado: un descuido podría detonar minas e inyectar puertas traseras y vulnerabilidades en las infraestructuras de software. Los departamentos de TI y los mantenedores de proyectos deben evaluar las capacidades de seguridad de un proyecto para garantizar que no se incorpore código malicioso a la aplicación.
Un nuevo marco de seguridad de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Fundación de Seguridad de Código Abierto (OpenSSF) recomienda controles como habilitar la autenticación multifactor para los mantenedores de proyectos, capacidades de informes de seguridad de terceros y advertencias para paquetes obsoletos o inseguros. ayudar a reducir la exposición a códigos maliciosos y paquetes disfrazados de código fuente abierto en repositorios públicos.
"La comunidad de código abierto se reúne alrededor de estos abrevaderos para poder recuperar estos paquetes; tienen que ser, desde una perspectiva de infraestructura, seguros", dice Omkhar Arasaratnam, director general de OpenSSF.
Dónde se puede encontrar el código incorrecto
Esos abrevaderos incluyen Github, que aloja programas completos, herramientas de programación o API que conectan software a servicios en línea. Otros repositorios incluyen PyPI, que aloja paquetes de Python; NPM, que es un repositorio de JavaScript; y Maven Central, que es un repositorio de Java. El código escrito en Python, Rust y otros lenguajes de programación descarga bibliotecas desde múltiples repositorios de paquetes.
Los desarrolladores podrían ser engañados involuntariamente para que introduzcan software malicioso que podría inyectarse en los administradores de paquetes, lo que podría dar a los piratas informáticos acceso a los sistemas. Los programas escritos en lenguajes como Python y Rust podrían incluir software malicioso si los desarrolladores se vinculan a la URL incorrecta.
Las directrices de los “Principios para la seguridad de los repositorios de paquetes” se basan en los esfuerzos de seguridad ya adoptados por los repositorios. La Python Software Foundation el año pasado Sigstore adoptado, que garantiza la integridad y procedencia de los paquetes contenidos en su PyPI y otros repositorios.
La seguridad entre los repositorios no es terriblemente mala, pero sí inconsistente, afirma Arasaratnam.
"La primera parte es reunir a algunos de los más populares... e importantes dentro de la comunidad y comenzar a establecer un conjunto de controles que podrían usarse universalmente en todos ellos", dice Arasaratnam.
Las pautas establecidas en los Principios para la seguridad de repositorios de paquetes de CISA podrían prevenir incidentes como la okupación de nombres, donde los desarrolladores podrían descargar paquetes maliciosos al escribir mal el nombre de archivo o la URL.
"Puede iniciar accidentalmente una versión maliciosa del paquete, o podría ser un escenario en el que alguien haya subido un código malicioso bajo la identidad del mantenedor, pero sólo debido a un compromiso de la máquina", dice Arasaratnam.
Es más difícil reconocer paquetes maliciosos
La seguridad de los paquetes en los repositorios dominó una sesión de panel sobre seguridad de código abierto en el Foro de Código Abierto en Finanzas celebrado en noviembre del año pasado en Nueva York.
“Es como en los viejos tiempos de los navegadores, cuando eran inherentemente vulnerables. La gente iba a un sitio web malicioso, se les abría una puerta trasera y luego decían: "Vaya, este no es el sitio", dijo Brian Fox, cofundador y director de tecnología de Sonatype, durante el panel de discusión.
"Estamos rastreando más de 250,000 componentes que eran intencionalmente maliciosos", dijo Fox.
Los departamentos de TI se están enfrentando al código malicioso y a los paquetes disfrazados de código de fuente abierta, dijo Ann Barron-DiCamillo, directora general y jefa global de operaciones cibernéticas de Citi, en la conferencia OSFF hace unos meses.
“Hablando de paquetes maliciosos durante el último año, hemos visto un aumento del doble respecto a años anteriores. Esto se está convirtiendo en una realidad asociada con nuestra comunidad de desarrollo”, dijo Barron-DiCamillo.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/untitled
- :posee
- :es
- :no
- :dónde
- $ UP
- 000
- 250
- 7
- a
- Nuestra Empresa
- de la máquina
- accidentalmente
- a través de
- adoptado
- .
- ya haya utilizado
- an
- y
- e infraestructura
- un
- API
- Aplicación
- aplicaciones
- somos
- en torno a
- AS
- evaluar
- asociado
- At
- Autenticación
- puerta trasera
- Puertas traseras
- Malo
- BE
- cada vez
- "Ser"
- Tener cuidado
- Brian
- navegadores
- build
- pero
- by
- PUEDEN
- capacidades
- central
- jefe
- Director de Tecnología
- Citi
- Co-founder
- código
- viniendo
- vibrante e inclusiva
- componentes
- compromiso
- Congreso
- Contacto
- contenida
- controles
- podría
- crítico
- ciber
- La Ciberseguridad
- Días
- departamentos
- desarrolladores
- Desarrollo
- Director
- discusión
- dominado
- descargar
- caído
- dos
- durante
- esfuerzos
- permitiendo
- garantizar
- asegura
- Todo
- establecer
- Exposición
- pocos
- Archive
- financiar
- Nombre
- Foro
- encontrado
- Fundación
- zorro
- Marco conceptual
- Desde
- reunir
- General
- obtener
- GitHub
- Donar
- Buscar
- Go
- Apretones
- orientaciones
- los piratas informáticos
- más fuerte
- Tienen
- cabeza
- Retenida
- ayuda
- Agujeros
- anfitriones
- Cómo
- Como Hacer
- HTTPS
- Identidad
- if
- in
- incluir
- Incorporado
- aumente
- EN LA MINA
- infraestructura
- inherentemente
- inyectar
- inseguro
- integridad
- intencionalmente
- dentro
- ISN
- IT
- SUS
- Java
- JavaScript
- jpg
- puesto
- Idiomas
- Apellido
- El año pasado
- bibliotecas
- como
- LINK
- máquina
- malicioso
- gerente
- Managers
- administrar
- Director General
- Maven
- Puede..
- minas
- Moderno
- meses
- más,
- múltiples
- nombre
- ¿ Necesita ayuda
- Nuevo
- New York
- Noviembre
- of
- Oficial
- Viejo
- on
- las
- en línea
- , solamente
- habiertos
- de código abierto
- código de fuente abierta
- Operaciones
- or
- solicite
- Otro
- nuestros
- salir
- anticuado
- Más de
- paquete
- paquetes
- panel
- panel de discusión
- parte
- Personas
- la perspectiva
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Popular
- evitar
- anterior
- principios
- Programación
- lenguajes de programación
- Programas
- proyecto
- procedencia
- público
- tracción
- Python
- RE
- Realidad
- reconocer
- de CFP.
- reducir
- Informes
- repositorio
- correr
- Herrumbre
- s
- Said
- dice
- guión
- seguro
- EN LINEA
- visto
- Servicios
- Sesión
- set
- importante
- página web
- Software
- algo
- Fuente
- comienzo
- tal
- Todas las funciones a su disposición
- Tecnología
- esa
- El proyecto
- Les
- luego
- Estas
- ellos
- terceros.
- así
- a
- Seguimiento
- engañado
- bajo
- Universalmente
- subido
- Enlance
- usado
- versión
- Vulnerabilidades
- Vulnerable
- we
- Página web
- WELL
- tuvieron
- cuando
- que
- dentro de
- se
- la escritura
- escrito
- Mal
- año
- años
- york
- Usted
- zephyrnet
