esenfrdeitptru

Anuncio de la API de Deps.dev: Datos críticos de dependencia para cadenas de suministro seguras

AS-023-2023

Fecha: 12/Abr/2023

Resumen:

Google anuncia la API de deps.dev, la cual proporciona acceso gratuito al conjunto de datos deps.dev de metadatos de seguridad, incluidas dependencias, licencias, avisos y otras señales críticas de salud y seguridad para más de 50 millones de versiones de paquetes de código abierto.

Los ataques a la cadena de suministro de software son cada vez más comunes y dañinos, con incidentes de alto perfil como Log4Shell(la amenaza afectó a todos los sistemas VMware)[3] , Codecov(afecta al paquete antes de la versión 2.0.16, vulnerabilidad que ocurre debido a que no sanitizan los argumentos de gcov antes de que sean provistos para el método popen)[3] y el reciente hackeo de 3CX(app de voz y video conferencia vulnerable)[3] . La abrumadora complejidad del ecosistema de software causa problemas incluso a los desarrolladores más diligentes y con mejores recursos.

Esperamos que la API deps.dev ayude a la comunidad a comprender los datos de dependencia complejos que les permitan responder y prevenir, este tipo de ataques. Al integrar estos datos en herramientas, flujos de trabajo y análisis, los desarrolladores pueden comprender más fácilmente los riesgos en sus cadenas de suministro de software.

El poder de los datos de dependencia.

Como parte de los esfuerzos continuos de Google para mejorar la seguridad del código abierto , el equipo de Open Source Insights ha creado una vista confiable de los metadatos del software en 5 ecosistemas de empaquetado. El conjunto de datos deps.dev se actualiza continuamente desde una variedad de fuentes: registros de paquetes, la base de datos de vulnerabilidades de código abierto , hosts de código como GitHub y GitLab, y los propios artefactos de software. Esto incluye 5 millones de paquetes, más de 50 millones de versiones, de los ecosistemas Go, Maven, PyPI, npm y Cargo.

La API puede ayudar a revelar información de seguridad crítica donde y cuando los desarrolladores puedan actuar. Estos datos se pueden integrar en:

  • Complementos IDE, para que la información de dependencia y seguridad esté disponible de inmediato.
  • Integraciones de CI/CD para evitar la implementación de código con vulnerabilidades o problemas de licencia).
  • Cree herramientas e integraciones de motor de políticas para ayudar a garantizar el cumplimiento.
  • Herramientas de análisis posterior al lanzamiento, para detectar vulnerabilidades recién descubiertas en su base de código.
  • Herramientas para mejorar la gestión de inventarios y la identificación de archivos misteriosos.
  • Visualizaciones para ayudarlo a descubrir cómo se ve realmente su gráfico de dependencia.

Características únicas.

La API tiene un par de excelentes funciones que no están disponibles a través del sitio web deps.dev:

Consultas hash: Una característica única de la API son las consultas hash, puede buscar el hash del contenido de un archivo y encontrar todas las versiones del paquete que contienen ese archivo.

Gráficas de dependencia real: Los datos de dependencia de deps.dev no son solo lo que declara un paquete (sus manifiestos, archivos de bloqueo, etc.), sino un gráfico de dependencia completo calculado con los mismos algoritmos que las herramientas de empaquetado (Maven, npm, Pip, Go, Cargo).

Referencias:

[1]https://security.googleblog.com/2023/04/announcing-depsdev-api-critical.html
[2]https://docs.deps.dev/api/v3alpha
[3] CISA

Tlp Clear 2023