Llegamos a ustedes gracias a:



Noticias

Palo Alto añade el análisis de composición de software a Prisma Cloud

Para impulsar la seguridad del código abierto

[21/09/2022] Palo Alto Networks ha añadido una nueva solución de análisis de composición de software (SCA) a Prisma Cloud para ayudar a los desarrolladores a utilizar con seguridad componentes de software de código abierto. El proveedor también ha introducido una lista de materiales de software (SBOM) para que los desarrolladores mantengan y hagan referencia a un inventario de código base de los componentes de aplicaciones utilizados en los entornos de nube. Las actualizaciones llegan en un momento en el que los riesgos del software de código abierto persisten, y en el que la atención se centra en elevar el nivel de seguridad de los componentes de código abierto.

Vulnerabilidades frecuentes en el software de código abierto

En un comunicado de prensa, Palo Alto señaló que, aunque el software de código abierto es un componente fundamental de las aplicaciones nativas de la nube que puede permitir a los desarrolladores una mayor velocidad y modularidad, a menudo contiene vulnerabilidades que pueden exponer a las organizaciones a un riesgo significativo. De hecho, el Informe de Amenazas a la Nube 2H 2021 de Unit 42 descubrió que el 63% de las plantillas de código de terceros utilizadas en la construcción de la infraestructura de la nube contenían configuraciones inseguras, mientras que el 96% de las aplicaciones de contenedores de terceros desplegadas en la infraestructura de la nube contenían vulnerabilidades conocidas.

La nueva solución SCA de Palo Alto ha sido diseñada para permitir a los desarrolladores, y a los equipos de seguridad aflorar y priorizar proactivamente las vulnerabilidades conocidas a lo largo del ciclo de vida de la aplicación (código, construcción, despliegue y ejecución). También ayuda a los desarrolladores a priorizar la corrección en función de los componentes de software que están en uso, declaró el proveedor. Con las nuevas capacidades incorporadas de SCA, "Prisma Cloud aporta el contexto de cada capacidad, proporcionando una visión unificada a través de los entornos en la nube de las organizaciones y ofreciendo una profunda detección de vulnerabilidades de dependencia y remediación del software de código abierto antes de que las aplicaciones lleguen a la producción", añadió Palo Alto.

En relación con esta publicación, el vicepresidente del programa de seguridad y confianza de IDC, Frank Dickson, dijo que los compradores que buscan soluciones de seguridad nativas de la nube deben tener en cuenta los requisitos de protección de la seguridad de los microservicios. "Los enfoques 'atornillados' y 'whack-a-mole' son cosa del pasado. La seguridad debe integrarse en todo el ciclo de vida del desarrollo de la aplicación", añadió. Esto significa que los compradores deben cambiar fundamentalmente su enfoque de la seguridad y adoptar soluciones que integren la seguridad en el proceso de desarrollo de las aplicaciones, un enfoque que se conoce como cambio a la izquierda. "El cambio a la izquierda requiere pensar menos en productos de seguridad y más en procesos de seguridad continuos", anotó Dickson.

La seguridad del software de código abierto es una de las prioridades en el 2022

La decisión de Palo Alto de introducir SCA de código abierto en Prisma Cloud es un reflejo de un enfoque reciente más amplio en la mejora de la seguridad del software de código abierto y del desarrollo. Este año se han lanzado varias iniciativas notables por parte de proveedores, colectivos y gobiernos para mejorar la seguridad de los recursos de código abierto. Entre ellas se encuentran el Plan de Movilización de la Seguridad del Software de Código Abierto de la Fundación OpenSSF/Linux, el Proyecto Pyrsia de JFrog, el proyecto ggcanary de GitGuardian, y el programa de recompensas por vulnerabilidad del software de código abierto de Google.

"En muchos sentidos, el problema no es un problema de software de código abierto o de software de código cerrado; es un problema de software", explicó a CSO David A. Wheeler, director de seguridad de la cadena de suministro de código abierto de la Fundación Linux. "La mayoría de los desarrolladores de software no saben cómo desarrollar software seguro, y por eso a menudo no lo hacen, independientemente del tipo de software que sea. Así que ahora estamos empezando a ponernos al día, en toda la industria".

Muchas organizaciones están adoptando la autenticación multifactor (MFA), al menos para algunos proyectos críticos, para dificultar que los atacantes se apoderen de las cuentas de los desarrolladores de software de código abierto y publiquen software subvertido, añade. "Ha habido preocupación en algunos sectores porque esto impone algunos cambios en lo que los desarrolladores de software de código abierto deben hacer, y con razón los desarrolladores están preocupados por las cargas excesivas. Dicho esto, creo que estas medidas concretas han sido recibidas positivamente, y tendremos que seguir trabajando para no sobrecargar a los desarrolladores".