Llegamos a ustedes gracias a:



Noticias

GitGuardian añade el escaneo de IaC a su plataforma

Para proteger el SDLC

[19/10/2022] GitGuardian ha añadido el escaneo de la infraestructura como código (IaC) a su plataforma de seguridad del código para mejorar la seguridad del desarrollo de software. La empresa afirmó que la nueva función ayudará a los equipos de seguridad y desarrollo a escribir, mantener y ejecutar código seguro, protegiendo el ciclo de vida del desarrollo de software (SDLC) contra riesgos como la manipulación, la fuga de código y las credenciales codificadas. El lanzamiento refleja el creciente interés de la industria por mejorar la ciberseguridad de los procesos de desarrollo de software para ayudar a proteger mejor los recursos y las cadenas de suministro de uso generalizado frente a las ciberamenazas.

El enfoque inicial de IaC en Terraform y AWS, Azure y Google Cloud le seguirán

En un comunicado de prensa, GitGuardian afirmó que, aunque la infraestructura definida por software permite a los equipos de ingeniería ganar velocidad y consistencia, sigue estando plagada de riesgos. Gartner predice que al menos el 99% de las fallas de seguridad en la nube se deberán a fallas del usuario y a errores de configuración para el 2023. Estos errores se propagan desde el código hasta los entornos nativos de la nube, exponiendo cargas de trabajo y recursos críticos en el camino, añadió.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

El cofundador y director de tecnología de GitGuardian, Eric Fourrier, dijo que su nuevo escaneo IaC ha sido construido para apoyar a los equipos de seguridad de la nube para proteger la infraestructura de su organización en la fuente mediante la búsqueda de errores de configuración de seguridad. Además, la empresa lo permite a través de su popular interfaz de línea de comandos (CLI) de código abierto para desarrolladores, ggshield, añadió. La versión inicial de IaC se centrará en Terraform y AWS, pero GitGuardian ha esbozado planes para enriquecer su directorio de políticas, admitir otros proveedores de servicios en la nube como Azure y Google Cloud Platform, e integrar el escaneo de forma nativa en los flujos de trabajo de los desarrolladores en GitHub, GitLab o Bitbucket en el futuro. También está explorando oportunidades en áreas como las pruebas de seguridad de aplicaciones estáticas (SAST) y el análisis de composición de software (SCA), añadió el ejecutivo.

Identificar y corregir los errores de seguridad de IaC en una fase temprana del SDLC

En declaraciones a CSO, Fourrier, afirmó que la infraestructura mal configurada es una de las cinco principales vulnerabilidades identificadas por OWASP, y que los ingenieros de DevOps están bajo presión para ofrecer nuevas características, al tiempo que necesitan gestionar toda la configuración necesaria para los servicios sobre los que se ejecutan sus aplicaciones. "Puede ser fácil pasar por alto todas las comprobaciones manuales necesarias para asegurar su infraestructura como código. A veces es tan sencillo como olvidarse de restringir el tráfico a sus recursos o no cifrar los sistemas de almacenamiento, como las bases de datos. O puede ser tan grave como dejar credenciales codificadas en los archivos de configuración".

Las organizaciones deben proteger su infraestructura en la nube a nivel de código fuente tan pronto como sea posible en el SDLC, añadió. "Deben identificar y corregir cualquier error de configuración de seguridad de IaC antes de que se empuje hacia la producción, desplazando la seguridad a la izquierda. En lugar de atacar únicamente las aplicaciones orientadas al cliente, cada vez es más común que los malos actores vayan tras todas las partes de la infraestructura de una organización, en múltiples puntos a lo largo del SDLC. Como GitOps y CI/CD han creado fábricas de software, hay muchos más objetivos que aumentan la superficie de ataque más allá del código producido por los equipos de desarrollo, incluyendo bibliotecas de código abierto, APIs, contenedores y una lista creciente de servicios".

La seguridad en el desarrollo de software, una prioridad en la agenda

La seguridad en el desarrollo de software ha sido un tema candente recientemente, con otros recursos publicados este año para ayudar a mejorar la ciberseguridad del SDLC en medio de las importantes amenazas que se plantean a las organizaciones. Un ejemplo destacado es la guía detallada de la Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA) del gobierno estadounidense y de la Agencia de Seguridad Nacional (NSA) que aconseja a los desarrolladores cómo mejorar la seguridad de la cadena de suministro de software con un enfoque significativo en el software de código abierto, publicada en agosto.

La guía esboza consejos en línea con las mejores prácticas y principios de la industria que se recomienda encarecidamente a los desarrolladores de software. Estos principios incluyen la planificación de los requisitos de seguridad, el diseño de la arquitectura del software desde el punto de vista de la seguridad, la incorporación de funciones de seguridad y el mantenimiento de la seguridad del software y de la infraestructura subyacente (por ejemplo, entornos, revisión del código fuente, pruebas).

En declaraciones a CSO en septiembre, Dave Stapleton, CISO de CyberGRX, predijo que las nuevas directrices lideradas por EE.UU. tendrán un impacto positivo en todo el mundo, ya que las cadenas de suministro atraviesan ciudades, estados, países y continentes. "Un punto importante planteado por el gobierno federal es que muchos enfoques de reparación y mitigación dependerán en gran medida de las partes interesadas anteriores y posteriores, evocando el modelo de responsabilidad compartida", añadió.

El Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. y el Centro de Seguridad de Internet (CIS) también han publicado en los últimos meses nuevas orientaciones sobre el desarrollo de software y la seguridad de la cadena de suministro, en las que también se esbozan estrategias y mejores prácticas para gestionar y evaluar los ciclos de vida del software.