[10/11/2022] GitHub ha anunciado nuevas características de seguridad en su plataforma para ayudar a proteger el ciclo de vida de desarrollo de software (SDLC). Entre ellas se encuentran la notificación privada de vulnerabilidades, la compatibilidad con el escaneo de vulnerabilidades CodeQL para el lenguaje de programación Ruby, y dos nuevas opciones de visión general de la seguridad. La plataforma de desarrollo dijo que estas actualizaciones hacen que la seguridad del SDLC de principio a fin sea más fácil y fluida para los desarrolladores. Los lanzamientos llegan en un momento en que la ciberseguridad del SDLC sigue siendo una de las prioridades de la agenda, ya que las investigaciones revelan un aumento de casi el 800% en los ataques a la cadena de suministro de software.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
GitHub presenta informes privados sobre vulnerabilidades, compatibilidad con CodeQL para Ruby y panoramas de seguridad de cobertura/riesgo
GitHub ha anunciado sus nuevas funcionalidades en el GitHub Universe 2022, un evento global de desarrolladores para la nube, la seguridad, la comunidad y la IA. La primera, la notificación privada de vulnerabilidades, se centra en la divulgación responsable de vulnerabilidades que busca minimizar el uso de canales públicos inconsistentes y a veces inseguros para la notificación de vulnerabilidades a los mantenedores. GitHub argumentó que, con la divulgación pública, los mantenedores pueden luchar para arreglar los problemas antes de que los malos actores se enteren y potencialmente los exploten. "La notificación privada de vulnerabilidades es una solución de colaboración para que los investigadores de seguridad y los mantenedores de código abierto notifiquen y corrijan las vulnerabilidades en los repositorios de código abierto. Proporciona una forma cómoda, estandarizada y secreta de informar, evaluar y solucionar las vulnerabilidades", declaró GitHub. Los mantenedores están invitados a unirse a la beta pública.
La siguiente novedad en materia de seguridad es la compatibilidad de CodeQL con el lenguaje de programación Ruby, que ahora está disponible por defecto en el escaneo de código de GitHub.com, en CodeQL CLI y en la extensión de CodeQL para VS Code. Esto permite a los usuarios de CodeQL encontrar, identificar y corregir fácilmente las vulnerabilidades en sus bases de código Ruby, todo dentro de GitHub, sostuvo la firma. Para conmemorar esta nueva capacidad, el programa GitHub Security Lab Bug Bounty Program otorgará una bonificación de dos mil dólares a las 10 primeras consultas de CodeQL para probar proyectos de código abierto escritos en Ruby que obtengan una puntuación Alta o Crítica. Se aceptarán propuestas hasta el 31 de marzo del 2023.
Por último, se han añadido dos nuevas opciones de vista a la visión general de la seguridad de GitHub que proporcionan una mayor visibilidad y conocimiento a los usuarios empresariales de su cobertura de seguridad y mapeo de riesgos de todo su entorno de aplicaciones, ayudándoles a entender mejor dónde centrar sus esfuerzos de remediación, según GitHub.
Adaptación de la ciberseguridad del SDLC a los desarrolladores, abordando el desequilibrio entre seguridad y desarrollo
La mayoría de las vulnerabilidades en el software son el resultado de simples errores, que pueden ser increíblemente difíciles de detectar para los desarrolladores, sostuvo Justin Hutchings, director de gestión de productos en GitHub. "GitHub tiene una oportunidad única para empoderar a nuestra comunidad de 94 millones de desarrolladores con herramientas de seguridad centradas en los desarrolladores que cubren las tres fuentes más comunes de vulnerabilidades: el código que escribiste, el código abierto del que dependes y las credenciales que utilizas para asegurar tus sistemas".
Los equipos de seguridad suelen ser 100 veces más numerosos que los equipos de desarrollo con los que trabajan, lo que significa que están constantemente jugando a ponerse al día para encontrar y corregir todas las vulnerabilidades de sus productos, añadió Hutchings. "GitHub tiene una tremenda oportunidad de mejorar la seguridad en todo el sector desarrollando capacidades de seguridad adaptadas a los desarrolladores".
La aceptación por parte de los desarrolladores de las herramientas de seguridad DevSecOps es fundamental para el éxito de la seguridad de las aplicaciones, afirmó Jim Mercer, vicepresidente de investigación de DevOps y DevSecOps en IDC. "El hecho de que GitHub despliegue estas capacidades en el lugar donde trabajan los desarrolladores hace que el despliegue sea una obviedad, y dado que estas capacidades no añaden una fricción indebida, esperaríamos que los desarrolladores estuvieran más abiertos a utilizarlas". La conclusión es que las herramientas de DevSecOps deben diseñarse teniendo en cuenta los flujos de trabajo de los desarrolladores y de DevOps, añadió. "Aunque estos movimientos no son la panacea de la seguridad de código abierto, ayudan a que los componentes de código abierto que consumen las empresas sean más seguros”.
2022, un año ajetreado para la ciberseguridad del SDLC
Ha sido un año ajetreado para la ciberseguridad del SDLC en todo el sector, con varias normas, iniciativas y proyectos lanzados en el 2022 para ayudar a elevar el listón de la seguridad que rodea a los procesos de desarrollo de software, incluidos los que dependen en gran medida de los recursos de código abierto.
En septiembre, la Agencia de Seguridad Nacional (NSA) de EE.UU., la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) y la Oficina del Director de Inteligencia Nacional (ODNI) publicaron Securing the Software Supply Chain: Guía de prácticas recomendadas para desarrolladores. El documento hace hincapié en el papel que desempeñan los desarrolladores en la creación de software seguro y esboza una guía diseñada para ayudarles a adoptar las recomendaciones del gobierno y de la industria para hacerlo.
En mayo, Rezilion lanzó una lista dinámica de materiales de software (SBOM) construida para conectarse al entorno de software de una organización para examinar cómo se ejecutan los múltiples componentes en tiempo de ejecución y revelar errores y vulnerabilidades. En noviembre, Rezilion amplió su SBOM para dar soporte a los entornos Windows, proporcionando a las organizaciones los medios para gestionar mejor las vulnerabilidades del software y cumplir con las nuevas normas reglamentarias, abordando las lagunas de funcionalidad de las herramientas tradicionales de gestión de vulnerabilidades diseñadas principalmente para el sistema operativo Linux.
En marzo, IriusRisk publicó un nuevo estándar Open Threat Model (OTM) para permitir una mayor conectividad e interoperabilidad entre el modelado de amenazas y otras partes del SDLC. El estándar OTM se publicó bajo una licencia Creative Commons, y aprovecha una amplia gama de formatos de origen y admite nuevas fuentes de diseño de aplicaciones y sistemas, permitiendo también a los usuarios intercambiar datos de modelos de amenazas dentro del SDLC y el ecosistema de ciberseguridad, indicó IriusRisk.
Este año también se ha visto cómo las organizaciones han empezado a crear oficinas de programas de código abierto (OSPO, por sus siglas en inglés) para ayudar a codificar las estrategias en torno al uso y la contribución del software de código abierto, y para fomentar la colaboración con la comunidad de desarrollo de software en general. Estas OSPO suelen tener responsabilidades clave, como cultivar una estrategia de software de código abierto, dirigir su ejecución y facilitar el uso de productos y servicios en toda la empresa, desempeñando un papel fundamental en el enfoque de la organización sobre la seguridad y la gobernanza del software de código abierto.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú