Llegamos a ustedes gracias a:



Noticias

GitGuardian lanza el proyecto ggcanary

Para ayudar a detectar los riesgos del software de código abierto

[28/07/2022] El proveedor de plataformas de seguridad de código GitGuardian ha anunciado el lanzamiento de un nuevo proyecto de tokens canary de código abierto para ayudar a las organizaciones a detectar entornos de desarrolladores y DevOps comprometidos. Según la empresa, los equipos de seguridad pueden utilizar GitGuardian Canary Tokens (ggcanary) para crear y desplegar tokens canary en forma de secretos de Amazon Web Services (AWS) para activar alertas en cuanto sean manipulados por atacantes. El lanzamiento refleja una tendencia más amplia de la industria de estándares emergentes e iniciativas diseñadas para abordar los riesgos que rodean la cadena de suministro de software y las herramientas DevOps.

ggcanary incorpora la detección de intrusiones "altamente sensibles"

En un comunicado de prensa, GitGuardian declaró que la continua adopción por parte de las organizaciones de la nube y de las prácticas modernas de desarrollo de software les está llevando a ampliar, sin saberlo, sus superficies de ataque. Los activos orientados a Internet y las redes corporativas mal protegidas, están provocando que los atacantes se dirijan a componentes de la cadena de suministro de software como los pipelines de integración y despliegue continuos (CI/CD) como puntos de entrada, añadió.

La investigación de GitGuardian indica que, tras obtener el acceso inicial, los atacantes suelen buscar credenciales válidas codificadas que puedan utilizar para un movimiento lateral posterior. El proyecto ggcanary está diseñado para ayudar a las empresas a detectar los compromisos más rápidamente, señaló GitGuardian, construido con las siguientes características

  • Dependencia de Terraform, que utiliza la popular herramienta de software de infraestructura como código de HashiCorp, para crear y gestionar tokens canarios de AWS.
  • Detección de intrusiones de alta sensibilidad que utiliza los registros de auditoría de AWS CloudTrail para rastrear todo tipo de acciones realizadas en los tokens canarios por los atacantes.
  • Escalabilidad de hasta cinco mil tokens canary de AWS activos desplegados en el perímetro interno de una organización, en repositorios de código fuente, herramientas de CI/CD, ticketing y sistemas de mensajería como Jira, Slack o Microsoft teams.
  • Su propio sistema de alertas, integrado con AWS Simple Email Service (SES), Slack y SendGrid. Los usuarios también pueden ampliarlo para reenviar las alertas a SOCs, SIEMs o ITSMs.

Dependiendo de las tasas de adopción, GitGuardian declaró que considerará integrar ggcanary en su plataforma de detección y remediación automatizada de extremo a extremo en el futuro.

La industria toma medidas para hacer frente a las amenazas a la seguridad del software de código abierto

El lanzamiento del proyecto ggcanary se produce en la estela de otras iniciativas lanzadas recientemente para ayudar a abordar y atajar las complejidades de la seguridad dentro del panorama del software de código abierto y del desarrollo. En mayo del 2022, la Fundación para la Seguridad del Código Abierto publicó el Plan de Movilización para la Seguridad del Software de Código Abierto, en el que se esboza una estrategia de inversión de 10 líneas con pasos para mejoras inmediatas y bases sólidas para un futuro más seguro. Sus tres objetivos principales de seguridad son

  • Asegurar la producción de OSS centrándose en la prevención de defectos de seguridad y vulnerabilidades en el código y los paquetes de código abierto.
  • Mejorar el descubrimiento y la reparación de vulnerabilidades mediante la mejora del proceso de búsqueda de defectos y su corrección.
  • Acortar los tiempos de respuesta de los parches del ecosistema acelerando la distribución e implementación de las correcciones.

Ese mismo mes, JFrog presentó el Proyecto Pyrsia, una iniciativa de la comunidad de software de código abierto que utiliza la tecnología blockchain para proteger los paquetes de software de las vulnerabilidades y el código malicioso.

Manjunath Bhat, analista VP, DevOps e ingeniería de software en Gartner, señaló que, dado el uso generalizado del código abierto y los riesgos asociados, es prometedor ver el crecimiento de las herramientas, normas y prácticas de seguridad para proteger el software de código abierto. "Encontramos el panorama de las amenazas en el software de código abierto distribuido a través de múltiples niveles, incluyendo el código fuente, los paquetes, las imágenes de contenedores públicos, los repositorios, los conductos de CI/CD, el desarrollo y las herramientas de entrega. Los atacantes están empezando a darse cuenta de que cuanto más "ascendente" sea el ataque, más daño pueden infligir. Por lo tanto, los riesgos se han extendido para incluir el typosquatting, la inyección y manipulación de código malicioso, los secretos codificados y el robo y la modificación de certificados. La idea es proteger la integridad del software de código abierto utilizando herramientas de código abierto".

Las organizaciones se toman más en serio la seguridad del software de código abierto

Las organizaciones también se están tomando los riesgos de la cadena de suministro de software más en serio que nunca, especialmente a medida que empiezan a darse cuenta de que el código abierto sustenta muchas de sus plataformas fundacionales y servicios básicos, sostuvo Bhat. "Cada vez vemos más clientes que intentan gobernar el uso de dependencias de software de código abierto mediante el uso combinado de registros de componentes de confianza y herramientas de análisis de composición de software", añadió. "Este enfoque proporciona a las organizaciones una forma segura y a la vez rápida de consumir código abierto".

La analista senior de Forrester, Janet Worthington, está de acuerdo. "Las organizaciones están cada vez más preocupadas por los componentes vulnerables que podrían descargarse y empaquetarse con sus aplicaciones, y por las consecuencias de utilizar determinadas licencias de código abierto. La industria también ha visto un aumento dramático en los ataques a la cadena de suministro de código abierto que no solo afecta a las organizaciones, sino también a sus clientes". ¿El código abierto es intrínsecamente una amenaza para las organizaciones? No, pero el riesgo para la empresa viene de la suposición de que la calidad y la seguridad del software de código abierto recae en los mantenedores del código abierto y está fuera de la responsabilidad de las organizaciones".

El consejo de Bhat para que las organizaciones integren de forma segura el software de código abierto incluye un enfoque triple: código fuente seguro, conductos DevOps y un entorno operativo seguro. "A nivel de código, asegúrese de que está utilizando dependencias de código abierto seguras. Esto se puede lograr a través de catálogos de componentes de confianza y listas de materiales de software que proporcionan visibilidad y trazabilidad, así como garantizar que los desarrolladores están utilizando las últimas versiones parcheadas", continuó. "Nuestra recomendación es que se adopten también las prácticas de DevSecOps, utilizando la automatización para integrar la seguridad en todas las fases del ciclo de vida del desarrollo. Sin la automatización, es imposible construir un software que sea seguro por diseño, y mucho menos seguro por defecto".

Para Worthington, las herramientas de análisis de la composición del software (SCA) que proporcionan información sobre la salud y la seguridad de los componentes de código abierto y bloquean los componentes vulnerables para que no entren en los procesos de desarrollo también son clave. "Por último, contribuya monetariamente a los proyectos de código abierto de los que depende, así como a la comunidad de código abierto para sentar las bases de la innovación futura".

Primer Contacto

Más »

Casos de éxito

Más »