Introducci\u00f3n<\/h2>\n
La cadena de suministro de software moderna representa un panorama de amenazas en constante evoluci\u00f3n, y cada paquete agregado al manifiesto introduce nuevos vectores de ataque. Para cumplir con los requisitos de la industria, las organizaciones deben mantener un proceso de desarrollo r\u00e1pido y al mismo tiempo estar actualizadas con los \u00faltimos parches de seguridad. Sin embargo, en la pr\u00e1ctica, los desarrolladores a menudo se enfrentan a una gran cantidad de trabajo de seguridad sin una priorizaci\u00f3n clara y pierden por completo una parte importante de la superficie de ataque.<\/p>\n
El problema principal surge de los m\u00e9todos de detecci\u00f3n y priorizaci\u00f3n utilizados por las herramientas tradicionales de an\u00e1lisis de c\u00f3digo est\u00e1tico (SCA) para vulnerabilidades. Estos m\u00e9todos carecen del contexto espec\u00edfico de la organizaci\u00f3n necesario para tomar una decisi\u00f3n de puntuaci\u00f3n informada: la puntuaci\u00f3n, incluso si es cr\u00edtica, puede no ser suficiente. de hecho<\/em> ser fundamental para una organizaci\u00f3n porque su infraestructura funciona de una manera \u00fanica, lo que afecta el impacto real que podr\u00eda tener la vulnerabilidad. <\/p>\n En otras palabras, dado que estas herramientas dependen de una metodolog\u00eda relativamente ingenua para determinar el riesgo de una vulnerabilidad, terminan con puntuaciones de vulnerabilidad principalmente irrelevantes, lo que hace que sea mucho m\u00e1s dif\u00edcil determinar qu\u00e9 vulnerabilidades abordar primero. <\/p>\n Adem\u00e1s, no abordan muchos ataques a la cadena de suministro, como errores tipogr\u00e1ficos, inyecci\u00f3n de c\u00f3digo malicioso, ataques CI\/CD, etc. Esta supervisi\u00f3n induce a error a los equipos y desarrolladores de seguridad de aplicaciones (AppSec) para que se centren en cuestiones menos cr\u00edticas, lo que retrasa el proceso de desarrollo y dejando a la organizaci\u00f3n vulnerable a importantes vectores de ataque.<\/p>\n Seguridad espejo<\/a> desarrolla soluciones innovadoras a estos desaf\u00edos revolucionando la forma en que las organizaciones detectan, priorizan y remedian los riesgos de su cadena de suministro. La plataforma de Myrror garantiza que AppSec y los equipos de ingenier\u00eda aborden los problemas correctos en el momento adecuado mediante el uso de an\u00e1lisis de binario a fuente para cada paquete de terceros en el c\u00f3digo base. A diferencia de las herramientas SCA tradicionales que eval\u00faan el impacto mediante la detecci\u00f3n de nivel de versi\u00f3n en archivos de manifiesto, Myrror utiliza un algoritmo de an\u00e1lisis de vulnerabilidad de accesibilidad patentado. Este algoritmo identifica qu\u00e9 vulnerabilidades son realmente accesibles en producci\u00f3n, lo que permite a Myrror priorizar los problemas de seguridad con precisi\u00f3n.<\/p>\n Esta revisi\u00f3n de la plataforma lo guiar\u00e1 a lo largo de todo el recorrido del usuario de Myrror, desde la integraci\u00f3n inicial de SCM hasta el generador del plan de remediaci\u00f3n, y brindar\u00e1 una descripci\u00f3n general concisa de las innovaciones que Myrror Security ha introducido para evitar la fatiga de alertas, capacitar a su organizaci\u00f3n para trabajar de manera m\u00e1s efectiva y proteger. protegerlo de las amenazas de la moderna cadena de suministro de software. Para obtener una demostraci\u00f3n personalizada, visite su sitio web aqu\u00ed<\/a>.<\/p>\n Myrror est\u00e1 dise\u00f1ado para una f\u00e1cil instalaci\u00f3n en la plataforma de administraci\u00f3n de c\u00f3digo fuente existente de la organizaci\u00f3n. Cuando Myrror se conecta a su SCM, comienza un proceso de descubrimiento de las dependencias de la organizaci\u00f3n. Posteriormente, la organizaci\u00f3n puede seleccionar repositorios espec\u00edficos para el escaneo activo de vulnerabilidades y ataques a la cadena de suministro, proporcionando una descripci\u00f3n general priorizada de los riesgos identificados.<\/p>\n Esta secci\u00f3n le permite hacer un balance del riesgo de la cadena de suministro asociado con su base de c\u00f3digo y determinar el panorama de amenazas real al que est\u00e1 expuesto debido a sus dependencias de c\u00f3digo abierto.<\/p>\n La pesta\u00f1a Repositorios le muestra todos los problemas en cada repositorio monitoreado y le permite elegir cu\u00e1les monitorear y cu\u00e1les ignorar. Esto le permitir\u00e1 eliminar parte del ruido asociado con los repositorios que no est\u00e1n en uso activo, que pronto quedar\u00e1n obsoletos o que simplemente son irrelevantes. Esta pesta\u00f1a sirve como panel de control de todos sus repositorios. Complementa la pantalla de problemas al indicarle los repositorios con mayor riesgo, lo que permite una vista panor\u00e1mica de las amenazas a nivel de proyecto o aplicaci\u00f3n.<\/p>\n La pesta\u00f1a Dependencias agrega todas las dependencias de c\u00f3digo abierto en su c\u00f3digo base y crea un gr\u00e1fico de todos los repositorios en los que se utiliza cada una. Esta descripci\u00f3n general clave le permite obtener una imagen completa de las bibliotecas de c\u00f3digo abierto en las que conf\u00eda su organizaci\u00f3n. A pesar del inmenso aumento de repositorios de c\u00f3digo abierto en pr\u00e1cticamente todos los proyectos de software, las organizaciones no tienen ning\u00fan control sobre las dependencias externas; Hacer un inventario de lo que se utiliza en su c\u00f3digo es el primer paso para controlar lo que est\u00e1 sucediendo. <\/p>\n Una vez que se completa la instalaci\u00f3n y el usuario elige los repositorios para escanear, el panel de Myrror se completa con informaci\u00f3n sobre sus repositorios, sus dependencias y los problemas que contienen. Cuando el usuario elige monitorear repositorios adicionales o conectar m\u00e1s fuentes de SCM, el panel se actualiza autom\u00e1ticamente con m\u00e1s informaci\u00f3n sobre las nuevas bases de c\u00f3digo. <\/p>\n El panel proporciona informaci\u00f3n de alto nivel sobre los problemas en todo el conjunto del c\u00f3digo base de la organizaci\u00f3n, que incluye:<\/p>\n Estos cuadros y gr\u00e1ficos generan una descripci\u00f3n general detallada y completa, brindando a las organizaciones informaci\u00f3n clara sobre las \u00e1reas que requieren m\u00e1s trabajo. Tenga en cuenta el filtro de repositorio en la parte superior derecha: esto permite a equipos espec\u00edficos obtener informaci\u00f3n precisa sobre su trabajo y los repositorios que est\u00e1n a cargo y exportar solo los datos relevantes para ellos.<\/p>\n Este es el n\u00facleo de la plataforma Myrror Security. Aqu\u00ed, todos sus problemas se priorizan y marcan seg\u00fan su gravedad, accesibilidad y explotabilidad reales para comprender claramente qu\u00e9 abordar a continuaci\u00f3n. Varios par\u00e1metros est\u00e1n organizados en columnas, lo que ofrece informaci\u00f3n m\u00e1s profunda sobre cada tema espec\u00edfico.<\/p>\n Entre estos par\u00e1metros, la columna de accesibilidad distingue a Myrror de las plataformas SCA tradicionales. Eval\u00faa si el problema es realmente abordable en producci\u00f3n, lo que influye en la priorizaci\u00f3n: garantizar que las vulnerabilidades alcanzables se puedan abordar primero. <\/p>\n Pero la plataforma no se limita a priorizar las vulnerabilidades seg\u00fan su accesibilidad: tambi\u00e9n considera si se trata de una dependencia directa o indirecta, si hay una soluci\u00f3n disponible para remediar el problema y si se ha confirmado que existe un exploit en la naturaleza. Todos estos par\u00e1metros ayudan a la plataforma a priorizar los problemas de manera precisa y confiable.<\/p>\n Puede ver toda la siguiente informaci\u00f3n sobre cada vulnerabilidad:<\/p>\n Los filtros (incluido un filtro de repositorio) tambi\u00e9n est\u00e1n disponibles aqu\u00ed, junto con una opci\u00f3n para exportar la tabla y descargar informaci\u00f3n para la creaci\u00f3n de informes. Esto ayuda a los equipos de seguridad a mantener registros en el almacenamiento local y generar informes de auditor\u00eda interna. Estos informes, enviados por correo electr\u00f3nico al usuario, contienen informaci\u00f3n completa directamente desde la plataforma que se puede compartir con otros miembros del equipo y partes interesadas.<\/p>\n Tenga en cuenta que hay 3 pesta\u00f1as diferentes disponibles en esta pantalla:<\/p>\n Cada tema tambi\u00e9n tiene su an\u00e1lisis en profundidad, con informaci\u00f3n sobre el impacto, alcance y origen de los problemas que se muestran en una pantalla. Esta descripci\u00f3n detallada proporciona enlaces externos al CVE para obtener m\u00e1s informaci\u00f3n al respecto, as\u00ed como informaci\u00f3n sobre los repositorios afectados y un plan de remediaci\u00f3n concreto para garantizar que se puedan tomar medidas r\u00e1pidas en cada problema.<\/p>\n Las pesta\u00f1as principales disponibles en esta pantalla son:<\/p>\n Tenga en cuenta que Myrror hace m\u00e1s que solo detectar vulnerabilidades: tambi\u00e9n detecta diversas formas de ataques a la cadena de suministro, que incluyen, entre otros:<\/p>\n Cuando detecta esos ataques, el mecanismo de detecci\u00f3n y el plan de remediaci\u00f3n pueden no ser tan sencillos como las vulnerabilidades normales. En esos casos, Myrror mostrar\u00e1 un an\u00e1lisis m\u00e1s profundo del ataque, lo que permitir\u00e1 a los profesionales comprender la situaci\u00f3n e identificar el eslab\u00f3n concreto de la cadena culpable. Vea a continuaci\u00f3n un ejemplo del an\u00e1lisis de Myrror de un ataque de inyecci\u00f3n de c\u00f3digo:<\/p>\n La planificaci\u00f3n de sus esfuerzos de remediaci\u00f3n generalmente requiere comprender las nuevas amenazas introducidas durante la aplicaci\u00f3n de parches. En la mayor\u00eda de los casos, la aplicaci\u00f3n de un parche genera un nuevo conjunto de vulnerabilidades debido a las nuevas dependencias (y sus dependencias transitivas) que introduce.<\/p>\n Para cada repositorio monitoreado, Myrror simplifica el proceso de correcci\u00f3n de problemas calculando autom\u00e1ticamente la cantidad de correcciones disponibles para todos los problemas, cu\u00e1ntas vulnerabilidades nuevas se introducir\u00e1n durante el proceso de correcci\u00f3n y cu\u00e1ntos problemas quedar\u00e1n al final.<\/p>\n Los equipos de AppSec sufren hoy una profunda fatiga de alertas, impulsada por una abrumadora cantidad de problemas de seguridad y una falta de una priorizaci\u00f3n clara de en qu\u00e9 trabajar primero. Adem\u00e1s, la mayor\u00eda de los equipos desconocen por completo los ataques a la cadena de suministro a los que est\u00e1n expuestos y no tienen un camino claro para detectarlos u ofrecer una soluci\u00f3n adecuada. <\/p>\n La priorizaci\u00f3n basada en la accesibilidad de Myrror ofrece una salida al infierno de la vulnerabilidad. Al mismo tiempo, su mecanismo de an\u00e1lisis de binario a fuente permite la detecci\u00f3n de algo m\u00e1s que simples vulnerabilidades y le permite defenderse contra una serie de ataques a la cadena de suministro.<\/p>\n Puede reservar una demostraci\u00f3n para obtener m\u00e1s informaci\u00f3n sobre su sitio web aqu\u00ed<\/a>.<\/p>\nIntroducci\u00f3n y configuraci\u00f3n<\/h2>\n
![\"Seguridad](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Revision-practica-SCA-compatible-con-codigos-de-seguridad-y-ataques.png\" "\\"Seguridad")
<\/a><\/div>\nLa secci\u00f3n de descubrimiento<\/h3>\n
<\/a><\/div>\n<\/a><\/div>\nEl panel del espejo<\/h3>\n
<\/a><\/div>\n\n
La pantalla de problemas<\/h3>\n
<\/a><\/div>\n\n
\n
<\/a><\/div>\n\n
Detecci\u00f3n de ataques a la cadena de suministro<\/h3>\n
\n
<\/a><\/div>\nEl generador de planes de remediaci\u00f3n<\/h3>\n
<\/a><\/div>\nConclusi\u00f3n<\/h2>\n