Herramienta de seguridad Open Source Insights
AS-055-2021
Fecha: 08/junio/2021
Resumen:
El software se basan no solo en el código que escribe, sino también en el código del que depende el código(2), Google ha lanzado una nueva herramienta experimental diseñada para ayudar a los desarrolladores de aplicaciones a visualizar las dependencias/bibliotecas de los proyectos de código abierto. Google comparte un sitio de visualización exploratoria: Open Source Insights(2), que proporciona una vista interactiva de las dependencias de los proyectos de código abierto, e informa las vulnerabilidades conocidas del paquete.(3)
Problemas de seguridad en código.
Existen herramientas para ayudar como los escáneres de vulnerabilidades y auditorías de dependencias que pueden ayudar a identificar cuándo un paquete está expuesto a una vulnerabilidad. Pero todavía puede ser difícil visualizar el panorama general, entender de qué depende y qué implica.
Open Source Insights proporciona una visualización de las dependencias de un proyecto y sus propiedades. Entre otras características, proporciona herramientas interactivas para visualizar y analizar gráficos de dependencias completos y transitivos. También tiene una herramienta de comparación para resaltar cómo las diferentes versiones de un paquete pueden afectar a sus dependencias, quizás cambiando sus propias dependencias, agregando requisitos de licencia o solucionando problemas de seguridad.
Open Source Insights escanea continuamente millones de proyectos en el ecosistema de software de código abierto, recopilando información sobre paquetes, incluidas licencias, propiedad, problemas de seguridad y otros metadatos como recuentos de descargas, señales de popularidad y cuadros de mandos de Open Source Security Foundation-OpenSSF. El objetivo de Scorecards de OPenSSF, es generar automáticamente una "puntuación de seguridad" para los proyectos de código abierto para ayudar a los usuarios a decidir la confianza, el riesgo y la postura de seguridad para su caso de uso. Estos datos también se pueden utilizar para aumentar cualquier toma de decisiones de forma automatizada cuando se introducen nuevas dependencias de código abierto dentro de los proyectos o en las organizaciones. Por ejemplo, las organizaciones pueden decidir que cualquier nueva dependencia con puntuaciones bajas tiene que pasar por una evaluación adicional. Estas comprobaciones podrían ayudar a mitigar las dependencias maliciosas de la implementación en sistemas de producción como hemos visto recientemente con paquetes NPM maliciosos.(5)
Del equipo de Google Cloud: Lo que esto significa para la nube abierta de GCP.
Para los usuarios de software de código abierto, esta puede ser la primera vez que visualiza información de dependencias y vulnerabilidades de una manera organizada y accesible. Si está utilizando un servicio basado en código abierto, es importante recordar que es posible que no se vea afectado por todas las vulnerabilidades enumeradas. Es posible que su proveedor haya tomado medidas para reforzar los productos que utiliza, y cuando se divulga una nueva vulnerabilidad, el proveedor puede asumir la responsabilidad de parchar. Google Cloud sigue estos pasos para ayudar a los usuarios a obtener los beneficios de la nube abierta al tiempo que prioriza la seguridad.
Varias capas de endurecimiento crean defensa en profundidad, lo que ayuda a proteger servicios como Google Kubernetes Engine (GKE), Cloud Run y Cloud Functions de una vulnerabilidad de escape de contenedor. Para los componentes que son responsabilidad del usuario, se implementa nuevos servicios, como GKE Autopilot, que automatizan estas responsabilidades.
Google está comprometido para proteger a los clientes, tanto a través del programa de recompensas de parches como de la asociación de seguridad cibernética recientemente lanzada.
Según Google, su programa Abuse Bug Bounty ya ha dado lugar a que se identifiquen más de mil errores válidos en los últimos tres años. Así, el año pasado, el gigante de las búsquedas aumentó las recompensas ofrecidas a través del programa.
Herrmienta de seguridad Open Source Insights.
Open Source Insights, es una herramienta alojada en Google Cloud Platform a la que se puede acceder a través de un sitio web en el que los usuarios pueden introducir el nombre de paquetes de código abierto específicos y obtener una visión general de cómo se agrupan, la siguiente información es visualizada(4):
- Información sobre el paquete(descripción, propiedad, enlaces).
- Dependencias (componentes de los que depende el paquete).
- Dependientes (paquetes que dependen de él).
- Avisos de seguridad (vulnerabilidades conocidas en el paquete y las dependencias, dependencias no administradas, etc.).
- Información de licencia.
Referencias:
(1)https://opensource.googleblog.com/2021/06/introducing-open-source-insights-project.html
(4)https://www.helpnetsecurity.com/2021/06/07/open-source-dependencies-security/
(5)https://openssf.org/blog/2020/11/06/security-scorecards-for-open-source-projects/