Los expertos de Google exploran la seguridad de código abierto …



Un evento de seguridad de código abierto trajo discusiones sobre la seguridad de la cadena de suministro y la gestión de fallas en proyectos de código abierto.

A medida que más organizaciones confían en componentes de código abierto en su application, la cuestión de proteger esos componentes se vuelve cada vez más urgente.

Esta fue la premisa de un evento organizado hoy por Google, durante el cual los expertos de código abierto discutieron los innumerables desafíos para asegurar el computer software de código abierto, qué deben priorizar las empresas y los pasos que la industria puede tomar para mejorar el estado common de la seguridad de código abierto.

La aplicación de software package promedio depende de al menos 500 bibliotecas y componentes de código abierto, un aumento del 77% de 298 dependencias en dos años, según muestran los datos de Synopsys. Las bibliotecas y componentes de código abierto constituían más del 75% del código en la aplicación de computer software promedio, el 84% de las aplicaciones tenían al menos una vulnerabilidad y la aplicación típica tenía 158.

En una charla sobre la seguridad de la cadena de suministro de código abierto, el ingeniero de software program de Google, Dan Lorenc, aconsejó a las organizaciones que sepan qué están usando un paso que reconoció parece obvio pero no es fácil, especialmente cuando los desarrolladores comienzan a construir artefactos y publicarlos, y combinar artefactos. en otros artefactos. Cuando se informa de una vulnerabilidad, ya sea no intencionada o maliciosa, no saber qué se está ejecutando puede causarle problemas.

«Tenga el control cuando se agreguen sus dependencias», dijo. La gobernanza y la auditoría continua de nuevas dependencias, ya sean internas o de código abierto, es una buena forma de proteger el program.

Este handle puede extenderse a la construcción de los componentes que united states of america, continuó Lorenc, señalando que este también es un paso difícil para la mayoría de las organizaciones. La mayoría de las veces, el contenido de un paquete binario puede ser difícil de verificar. No necesita ser todo o nada, agregó, pero parte del código de fuente abierta es construirlo y compilarlo. Saber que puede construirlo si es necesario es la mitad de la batalla y demuestra que tiene el command del código que entra en sus aplicaciones.

«El software package de código abierto es application», dijo Lorenc. «Está lleno de errores está lleno de CVE que pueden explotarse». Si bien algunos de estos errores no causarán mucho daño, algunos pueden resultar dañinos.

Las organizaciones deben tener planes para manejar tanto las vulnerabilidades de día cero como las fallas conocidas, enfatizó Lorenc. Los días cero son los errores llamativos y emocionantes que suelen aparecer en los titulares, y las empresas deben tener un guide de estrategias de emergencia sobre cómo parchearlos rápidamente, pero son las vulnerabilidades más antiguas las que pueden no recibir la atención que merecen. En organizaciones grandes que ejecutan una gran cantidad de entornos y sistemas, estas fallas pueden ser fáciles de pasar por alto.

«El hecho de que lo hayas olvidado no significa que un atacante no lo encontrará», continuó. «Estas cosas son fáciles de encontrar desde el exterior».

Las organizaciones deben rastrear el software program de código abierto que están ejecutando y actualizarlo constantemente, dijo, y señaló que esto a menudo se considera un trabajo «sucio» y «aburrido» que a menudo no se recompensa. Lorenc recomendó automatizar, monitorear y rastrear el proceso para hacerlo lo más fácil posible.

«Esto es lo que debería preocupar a todo el mundo», dijo sobre las vulnerabilidades conocidas.

En términos más generales, la industria puede hacer un mejor trabajo para encontrar y corregir errores desconocidos.

«Normalice el trabajo ascendente en los proyectos que utiliza», dijo Lorenc.

«Upstream» se refiere a la dirección de los autores o mantenedores del computer software initial. Existe una percepción errónea común de que debido a que el código está en GitHub y ha sido bien revisado, no tiene errores. Esto no es cierto, dijo, y «corregir errores en las fases iniciales puede ayudar a construir puentes importantes y mejorar el bien público».

Divulgación de vulnerabilidades de código abierto: consejos para el proceso
En una charla separada, la gerente de programas de Google, Anne Bertucio, explicó el proceso de verificación, comunicación y documentación de una vulnerabilidad para los gerentes de proyectos de código abierto de una manera que satisfaga las necesidades de los propietarios de proyectos / productos de código abierto y las personas que informan fallas.

Para empezar, dijo, no debería ser difícil para las personas que encuentran vulnerabilidades ponerse en contacto con el equipo de gestión de vulnerabilidades (VMT). El equipo puede decidir usar una herramienta común o una que ya usan, pero el correo electrónico está perfectamente bien y funciona bien como una opción de respaldo, dijo Bertucio. Una política de seguridad debe ser accesible e incluir qué explicar en el informe de error, así como las expectativas de respuesta. Si tardará tres días en acusar recibo de un envío, dígalo.

A partir de ahí, se reconoce y verifica el problema. El propietario del proyecto debe preguntarle al periodista si quiere ayudar a desarrollar el parche, si le gustaría que se le acredite en el CVE y si está de acuerdo con su cronograma de divulgación.

«A los reporteros realmente les gusta ver las cosas divulgadas y acreditadas lo más rápido posible», dijo Bertucio. Si bien 90 días es el estándar, es importante averiguar qué funciona para ambas partes.

Cuando llegue el momento de hacer la divulgación, el aviso de seguridad debe ser fáctico y breve: vaya directo al grano sobre lo que la gente necesita saber y cómo mitigarlo, agregó. Si desea compartir la historia del descubrimiento de un error y los detalles de cómo funciona, escríbalo en una publicación de blog site separada.

No tiene sentido ocultar los detalles de una vulnerabilidad, dijo Bertucio, y señaló que «la seguridad a través de la oscuridad no es realmente seguridad». De manera very similar, dijo, no hay nada de malo en tener muchos CVE para un proyecto de código abierto específico. Esto significa que tiene una respuesta sólida para revelar fallas y fortalecer el proyecto, agregó.

Kelly Sheridan es la editora de particular de Dark Reading, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial