{"id":1119761,"date":"2024-01-04T13:59:24","date_gmt":"2024-01-04T13:59:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/tres-formas-de-potenciar-la-seguridad-de-su-cadena-de-suministro-de-software\/"},"modified":"2024-01-04T13:59:28","modified_gmt":"2024-01-04T13:59:28","slug":"tres-formas-de-potenciar-la-seguridad-de-su-cadena-de-suministro-de-software","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/tres-formas-de-potenciar-la-seguridad-de-su-cadena-de-suministro-de-software\/","title":{"rendered":"Tres formas de potenciar la seguridad de su cadena de suministro de software"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>04 de enero de 2024<\/span>\ue804<\/i>Las noticias de los piratas inform\u00e1ticos<\/span><\/span>Hacking \u00c9tico \/ Evaluaci\u00f3n de Vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Secci\u00f3n cuarta de la “Orden ejecutiva para mejorar la ciberseguridad del pa\u00eds<\/a>” introdujo a mucha gente en tecnolog\u00eda el concepto de una “cadena de suministro de software” y su seguridad. Si crea software y alguna vez espera venderlo a una o m\u00e1s agencias federales, tener<\/em> que preste atenci\u00f3n a esto. Incluso si nunca planea venderle a un gobierno, comprender su cadena de suministro de software y aprender c\u00f3mo asegurarla le reportar\u00e1 dividendos en una base de seguridad m\u00e1s s\u00f3lida y los beneficios que brinda. Este art\u00edculo analizar\u00e1 tres formas de potenciar tu Seguridad de la cadena de suministro de software<\/a>.<\/p>\n

\u00bfCu\u00e1l es su cadena de suministro de software? Es esencialmente todo lo que implica la creaci\u00f3n de una pieza de software: desde el IDE en el que el desarrollador escribe el c\u00f3digo, hasta las dependencias de terceros, los sistemas y scripts de compilaci\u00f3n, el hardware y el sistema operativo en el que se ejecuta. Se pueden introducir inestabilidades y vulnerabilidades, de forma maliciosa o no, desde el inicio hasta la implementaci\u00f3n e incluso m\u00e1s all\u00e1. <\/p>\n

1: Mant\u00e9n tus secretos en secreto<\/strong><\/h2>\n

Algunos de los mayores incidentes de ciberseguridad de 2023 se produjeron porque los malos actores encontr\u00f3<\/em> secretos en texto plano. Los secretos, en este contexto, son cosas como combinaciones de nombre de usuario y contrase\u00f1a, claves API, claves de firma y m\u00e1s. Estas llaves de los reinos corporativos se encontraron tiradas donde no deber\u00edan estar.<\/p>\n

Sourcegraph fue enga\u00f1ado <\/a>cuando publicaron c\u00f3digo en una instancia p\u00fablica que conten\u00eda un token de acceso codificado. El token se utiliz\u00f3 para crear otras cuentas y brindar a las personas acceso gratuito a la API de Sourcegraph. Un grupo de piratas inform\u00e1ticos obtuvo acceso a un entorno de depuraci\u00f3n interno de Microsoft y encontr\u00e9 una clave de firma en un volcado de memoria<\/a> que les permiten crear credenciales de correo electr\u00f3nico.<\/p>\n

Herramientas como GitGuardian le permiten verificar su c\u00f3digo, tanto heredado como de vanguardia, en busca de secretos publicados accidentalmente o intentos de publicarlos. Es importante saber qu\u00e9 secretos podr\u00edan haberse revelado y remediarlos, as\u00ed como implementar medidas de seguridad en forma de herramientas automatizadas y revisiones de c\u00f3digo para garantizar que otras claves no salgan a la luz. <\/p>\n

2: Utilice SCA para ayudar a construir su lista de materiales<\/strong><\/h2>\n

En la fabricaci\u00f3n, una lista de materiales (BOM) es un inventario completo que incluye todas las materias primas, componentes y pautas necesarias para la construcci\u00f3n, fabricaci\u00f3n o reparaci\u00f3n de un producto o servicio. Tanto las regulaciones de ciberseguridad como las mejores pr\u00e1cticas est\u00e1n adoptando la idea de una lista de materiales de software que proporcione transparencia y procedencia de todas las piezas que intervienen en la creaci\u00f3n de su software.<\/p>\n

Pero simplemente no puedes crear una lista de materiales a partir de tu lista de dependencias declaradas. <\/p>\n

Los repositorios de paquetes como NPM, PyPI y la incorporaci\u00f3n de marcos y bibliotecas de c\u00f3digo abierto fueron elogiados por hacer que el desarrollo de software sea m\u00e1s eficiente al no tener que reinventar las ruedas. En cambio, los desarrolladores pod\u00edan encontrar paquetes gratuitos que implementaran la funcionalidad que necesitaban e incorporarlos f\u00e1cilmente a su software. <\/p>\n

Tambi\u00e9n expusieron a los desarrolladores a una creciente red de dependencias. Es posible que sienta que se siente como “tortugas hasta el final<\/a>” ya que sus dependencias tienen dependencias que tienen dependencias… Incluso podr\u00eda tener subdependencias en cuatro versiones diferentes del mismo paquete, todas las cuales tienen diferentes vulnerabilidades.<\/p>\n

Las herramientas de an\u00e1lisis de composici\u00f3n de software escanean autom\u00e1ticamente la base de c\u00f3digo de su proyecto e identifican todos los componentes externos que est\u00e1 utilizando, incluidas todas las tortugas hasta donde llegan. Luego realizan comprobaciones para asegurarse de que estos componentes est\u00e9n actualizados, sean seguros y cumplan con los requisitos de licencia. <\/p>\n

Esto no solo ayuda a identificar qu\u00e9 dependencias tienen vulnerabilidades conocidas para que pueda actualizarlas o reemplazarlas, sino que tambi\u00e9n es de gran ayuda cuando necesita generar una lista de materiales limpia para que la inspeccionen clientes y reguladores potenciales.<\/p>\n

3: Hack\u00e9ate t\u00fa mismo<\/strong><\/h2>\n

El hacking \u00e9tico es m\u00e1s antiguo que el de la mayor\u00eda de los graduados recientes en inform\u00e1tica. Como se indica en un seminario web reciente sobre pirater\u00eda \u00e9tica<\/a>es “identificar y explotar vulnerabilidades en sistemas o redes inform\u00e1ticas de una manera responsable y legal<\/em> Tenga en cuenta el \u00e9nfasis en “responsable” y “legal”.<\/p>\n

B\u00e1sicamente, los hackers \u00e9ticos utilizan mayor\u00eda<\/em> de las mismas t\u00e9cnicas que los hackers de “sombrero negro” para encontrar y explotar vulnerabilidades en un sistema. La diferencia que no se puede enfatizar lo suficiente es que lo hacen con permiso. Se apegan a los sistemas que se les ha dado permiso para piratear y luego documentan todo para que sus descubrimientos puedan ser reproducidos y analizados por el equipo\/cliente al que los informan.<\/p>\n

Si bien esto a menudo puede ocurrir en una etapa posterior del proceso de desarrollo, es importante. Si pueden determinar sus dependencias y hacer su propio SCA que identifique las dependencias vulnerables, se acab\u00f3 el juego. Si pueden encontrar un punto de entrada sin vigilancia, se acab\u00f3 el juego. Si prueban una aplicaci\u00f3n web y encuentran un c\u00f3digo de depuraci\u00f3n que genera resultados confidenciales en la consola, se acab\u00f3 el juego. Algunas vulnerabilidades pueden ser un obst\u00e1culo, otras podr\u00edan simplemente necesitar eliminar una l\u00ednea de c\u00f3digo de depuraci\u00f3n.<\/p>\n

Hacer que la pirater\u00eda \u00e9tica forme parte del proceso de lanzamiento, unirse a programas de recompensas por errores y m\u00e1s puede garantizar que est\u00e9 arreglando las cosas antes de tener que disculparse por ellas, informarlas a los reguladores y realizar una limpieza.<\/p>\n

Resumen<\/strong><\/h2>\n

Ya sea que est\u00e9 tratando de complacer a los reguladores o a los clientes, reforzar la seguridad de su cadena de suministro de software le permitir\u00e1 dedicar m\u00e1s tiempo a vender su software y menos tiempo a disculparse por ello. Y si bien estos tres consejos le brindan una buena base, puede encontrar mucho m\u00e1s en el marco de seguridad SLSA. Trabajar el marco y asegurar su cadena de suministro es la forma de obtener (en palabras del sitio SLSA<\/a>) “de ‘lo suficientemente seguro’ a ser lo m\u00e1s resistente posible, en cualquier eslab\u00f3n de la cadena”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n