Nuevas herramientas de seguridad
AS-098-2022
Fecha: 16/Dic/2022
Notificado por: Correo- CTI FIRST
Resumen:
1. Nosey Parker: Herramienta para encontrar información sensible
Praetorian abre las capacidades de escaneo basadas en expresiones regulares (RegEx) de su herramienta de escaneo de código abierto “Nosey Parker”. [2]
La divulgación inadvertida de secretos es una de las rutas de ataque más comunes de una organización. Nosy Parker aborda el problema generalizado de la exposición secreta en el código fuente y los archivos de configuración donde existe información confidencial como contraseñas, claves API, tokens de acceso, claves privadas asimétricas, secretos de clientes y credenciales. La capacidad de un atacante para descubrir estos secretos puede resultar en la capacidad de acceder a las claves de sistemas adicionales. [1]
Imagen Nro. 1: Escaneo del contenido del sistema de archivos en busca de secretos
Con la versión de código abierto de RegEx , los ingenieros de seguridad de aplicaciones, los ingenieros de seguridad en la nube, los ingenieros de confiabilidad del sitio y los desarrolladores pueden encontrar rápidamente la cantidad de incidentes de seguridad y su ubicación, evitando lo que actualmente es un proceso manual que requiere mucho tiempo. [1]
2. Google lanza OSV-Scanner un Escáner de vulnerabilidades para código abierto
Google lanza OSV-Scanner, una herramienta gratuita que brinda a los desarrolladores de código abierto un fácil acceso a la información de vulnerabilidades relevantes para su proyecto. El año pasado, se emprendió un esfuerzo para mejorar la clasificación de vulnerabilidades para desarrolladores y consumidores de software de código abierto. y el lanzamiento del servicio OSV.dev , la primera base de datos de vulnerabilidades de código abierto distribuida. [3]
Actualmente, el servicio OSV.dev admite 16 ecosistemas de codificación importantes, incluidos Linux Kernel, Android, Debian, Alpine, PyPI, npm, OSS-Fuzz y Maven. Es la base de datos de vulnerabilidades de código abierto más grande del mundo, con 23 000 avisos solo en 2022.
El OSV-Scanner proporciona una interfaz con soporte oficial para la base de datos OSV que conecta la lista de dependencias de un proyecto con las vulnerabilidades que las afectan.
Los proyectos de software comúnmente se construyen sobre una montaña de dependencias: bibliotecas de software externas y componentes ya disponibles que se incorporan a un proyecto para agregar funcionalidades sin desarrollarlas desde cero lo que generalmente conduce a un desarrollo más rápidos de soluciones complejas. Cada dependencia contiene potencialmente vulnerabilidades conocidas existentes o nuevas vulnerabilidades que podrían descubrirse en cualquier momento. Simplemente hay demasiadas dependencias y versiones para realizar un seguimiento manual, por lo que se requiere automatización.
Los escáneres brindan esta capacidad automatizada comparando su código y dependencias con listas de vulnerabilidades conocidas y notificándole si se necesitan parches o actualizaciones. Los escáneres brindan increíbles beneficios a la seguridad de los proyectos, razón por la cual la Orden Ejecutiva de EE. UU. para Ciberseguridad de 2021 incluyó este tipo de automatización como un requisito para los estándares nacionales sobre desarrollo de software seguro.
OSV-Scanner también está integrado en la verificación de vulnerabilidades con OpenSSF Scorecard , tendrán una medida más completa de la seguridad de su proyecto.
Recomendaciones:
Probarlo en forma inmediata. Descargar y probar OSV-Scanner en sus proyectos siguiendo las instrucciones del nuevo sitio web osv.dev . O bien, para ejecutar automáticamente OSV-Scanner en su proyecto de GitHub, pruebe Scorecard .[3]
Referencias:
[1]https://www.helpnetsecurity.com/2022/12/14/nosey-parker/
[2] https://github.com/praetorian-inc/noseyparker
[3] https://security.googleblog.com/2022/12/announcing-osv-scanner-vulnerability.html
[4]https://github.com/google/osv-scanner
