![\"vulnerabilidades\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhBz3IT6BU8eGspTJ_mqNmAFNjrhqryniEtc2585T1nSMNZzcIX730qaA1HrO7NlWBPSd9946O_RYaOEEx11UzzP-b6t8rLK5ZWhTw7jkND7kr6vypFg2t697iyhy074_yos1kdBx_0Z_4Vh9RkUrBr2zprivIXxJ4oDamfBrNoUJo2v7a2iDu-iohH\/s728-e1000\/flaw.jpg\" "\\"vulnerabilidades\\"\/")
<\/div>\nLa reparaci\u00f3n de vulnerabilidades indirectas es una de esas tareas complejas, tediosas y, francamente, aburridas que nadie quiere tocar. Nadie excepto por <\/em>desmantelado<\/em><\/a>, parece. Claro, hay muchas formas de hacerlo manualmente, pero \u00bfse puede hacer autom\u00e1ticamente con un riesgo m\u00ednimo de romper los cambios? El equipo Debricked decidi\u00f3 averiguarlo. <\/em><\/p>\n Entonces, \u00bfpor d\u00f3nde empiezas?<\/p>\n En primer lugar, debe haber una forma de solucionar la vulnerabilidad, que, para las dependencias indirectas, no es un paseo por el parque. En segundo lugar, debe hacerse de manera segura o sin que se rompa nada. <\/p>\n Ver\u00e1, las dependencias indirectas se introducen en lo m\u00e1s profundo del \u00e1rbol de dependencias y es muy complicado llegar a la versi\u00f3n exacta que desea. Como dijo una vez el director de I+D de Debricked, “Est\u00e1 girando las perillas jugando con sus dependencias directas y rezando a Torvalds para que se resuelvan los paquetes indirectos correctos. Cuando Torvalds est\u00e1 a tu favor, tienes que sacrificar algo de almacenamiento en la nube al t\u00edo Bob para asegurarte de que las actualizaciones no rompan tu aplicaci\u00f3n.<\/em>.”<\/p>\n En otras palabras, realmente deber\u00eda haber una manera m\u00e1s f\u00e1cil y menos estresante de hacerlo. <\/p>\n En este art\u00edculo, lo guiaremos a trav\u00e9s de c\u00f3mo la resoluci\u00f3n de vulnerabilidades transitivas se puede hacer manualmente y, hacia el final, le mostraremos la soluci\u00f3n Debricked, que le permite hacerlo autom\u00e1ticamente. Si realmente solo est\u00e1 interesado en la soluci\u00f3n, le sugiero que comience a desplazarse<\/em>. <\/p>\n Durante la fase de investigaci\u00f3n del proyecto de base de datos de grafos<\/a>o, c\u00f3mo Debricked corrige hoy sus vulnerabilidades de c\u00f3digo abierto a la velocidad de la luz, el equipo descubri\u00f3 algunos art\u00edculos<\/a> explicando c\u00f3mo solucionar vulnerabilidades indirectas en NPM. <\/p>\n Como se indica en el art\u00edculo, el paquete “minimista” se ve afectado por vulnerabilidades, a saber CVE-2021-44906<\/a> y CVE-2020-7598<\/a>. <\/p>\n Ambas son vulnerabilidades de “contaminaci\u00f3n de prototipos”, lo que significa que los argumentos no se desinfectan adecuadamente. Afortunadamente, los mantenedores de `minimist` corrigieron estas vulnerabilidades en la versi\u00f3n 1.2.6. <\/p>\n Desafortunadamente, `mocha` versi\u00f3n 7.1.0 resuelve `minimist` 0.0.8, que est\u00e1 dentro del rango vulnerable de estas vulnerabilidades. Como sugiere el autor de Este art\u00edculo<\/a>estas vulnerabilidades se pueden corregir de diferentes maneras. <\/p>\n La primera sugerencia es simplemente desencadenar una actualizaci\u00f3n de todas las “dependencias indirectas”, lo que significa que en realidad no cambiaremos la versi\u00f3n de `mocha`. Para realizar esta actualizaci\u00f3n, simplemente ejecute `npm update`, elimine su archivo `npm.lock` y ejecute `npm install`. Esto regenera el \u00e1rbol de dependencias con la \u00faltima versi\u00f3n posible (seg\u00fan las restricciones) de sus dependencias indirectas. Con este m\u00e9todo, el riesgo de interrumpir los cambios es muy bajo, ya que en realidad no actualiza ninguna de sus dependencias ra\u00edz, solo las indirectas. <\/p>\n Los cambios importantes ocurren cuando la funcionalidad o la interfaz del paquete no es compatible con versiones anteriores, lo que significa que una actualizaci\u00f3n del paquete podr\u00eda causar que su aplicaci\u00f3n se rompa. Los cambios de \u00faltima hora comunes son la eliminaci\u00f3n de clase\/funci\u00f3n, el cambio de argumentos a una funci\u00f3n o el cambio de licencia (\u00a1cuidado con eso!). <\/p>\n Pero la vida no siempre es tan f\u00e1cil, y esta simple actualizaci\u00f3n del \u00e1rbol no resolver\u00e1 la vulnerabilidad. El problema es que `mkdirp` ha bloqueado su versi\u00f3n de `minimist` a 0.0.8<\/a>. Esto significa que los contribuyentes de `mkdirp` llegaron a la conclusi\u00f3n de que no son compatibles con las versiones m\u00e1s nuevas de `minimist`, y forzar la actualizaci\u00f3n de `minimist` puede introducir cambios importantes entre `mkdirp` y `minimist`. <\/p>\n Entonces, la pregunta del mill\u00f3n es: \u00bfqu\u00e9 versi\u00f3n de `mocha` se debe usar, que a su vez se convierte en una versi\u00f3n segura de `minimist` sin romper el \u00e1rbol de dependencias? Esto es en realidad un problema gr\u00e1fico, que se ha descrito en Este art\u00edculo<\/a>. <\/p>\n \u00bfQu\u00e9 algoritmo gr\u00e1fico resolver\u00eda este problema? La forma en que NPM resuelve las dependencias puede ser un poco complicada, ya que se les permite “dividir” el \u00e1rbol de dependencias. Esto significa que pueden tener m\u00faltiples versiones de una dependencia para asegurarse de que siempre tengamos un \u00e1rbol que sea compatible. Para resolver la vulnerabilidad, debemos asegurarnos de que todas las instancias de `minimist` sean seguras actualizando todas las ra\u00edces que pueden filtrarse a `minimist`. <\/p>\n El algoritmo utilizado para resolver este problema se llama “All Max Paths Safe”. Recorriendo el gr\u00e1fico de dependencias y manteniendo las versiones m\u00e1ximas, mientras eliminamos todas las dem\u00e1s versiones de ese paquete en cada intersecci\u00f3n, podemos crear una representaci\u00f3n aproximada de nuestro \u00e1rbol de dependencias. Si la aproximaci\u00f3n es segura, \u00a1eso significa que nuestro \u00e1rbol real tambi\u00e9n lo ser\u00e1! <\/p>\n Al realizar este algoritmo para todas las versiones potenciales de `mocha`, encontramos la actualizaci\u00f3n m\u00e1s peque\u00f1a para corregir esta vulnerabilidad. Para obtener la velocidad que quer\u00edamos para este algoritmo, el equipo tuvo que crear un algoritmo personalizado Procedimiento Neo4j<\/a>, que puede gestionar la b\u00fasqueda de m\u00e1s de 100 versiones ra\u00edz con una profundidad de b\u00fasqueda de m\u00e1s de 30 en ~150 milisegundos. R\u00e1pido, \u00bfeh?<\/p>\n En este caso, no tenemos que buscar muy lejos… \u00a1ya que 7.1.1 de `mocha` es seguro! Esta es solo una actualizaci\u00f3n de parche, lo que indica que el riesgo de romper los cambios es muy bajo. Para casos menos complejos (como este ejemplo), ‘npm audit’ puede ayudarlo con su fant\u00e1stico comando ‘npm audit fix’. <\/p>\n Ahora, si llegaste hasta aqu\u00ed (felicidades, muy impresionante) y pensaste, “esto suena realmente complejo y requiere mucho trabajo”, no te preocupes, no eres el \u00fanico. Por suerte, todo esto sucede de forma completamente autom\u00e1tica en la herramienta Debricked al hacer clic en este peque\u00f1o bot\u00f3n:<\/p>\n A partir de ahora, esto est\u00e1 disponible para Javascript. Pronto, el soporte se extender\u00e1 a Java, Golang, C#, Python y PHP. <\/p>\n Si a\u00fan no eres un desmantelado<\/a> Usuario, \u00bfqu\u00e9 est\u00e1s esperando? Es gratis para desarrolladores individuales, equipos m\u00e1s peque\u00f1os y proyectos de c\u00f3digo abierto (y si es una organizaci\u00f3n m\u00e1s grande, no se preocupe. Hay una prueba gratuita generosa). Reg\u00edstrate gratis aqu\u00ed<\/a>.<\/p>\n <\/p>\n<\/div>\nUn bosque lleno de \u00e1rboles fr\u00e1giles<\/h2>\n
Cirug\u00eda de precisi\u00f3n en tu \u00e1rbol de dependencia<\/h3>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Resolviendo-el-enigma-de-la-vulnerabilidad-indirecta-corrigiendo-las-vulnerabilidades.jpg\"\/)
<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Resolviendo-el-enigma-de-la-vulnerabilidad-indirecta-corrigiendo-las-vulnerabilidades.png\"\/)
<\/div>\n\u00a1Pero! \u00bfQu\u00e9 pasa con los cambios de ruptura?<\/h3>\n
Piensa\u2026 \u00a1gr\u00e1ficos! <\/h2>\n
\u00a1No sea ad-hoc, entre en la forma pub-sub-humana de trabajar! <\/h2>\n
![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEibI9-K1AMkP4jk6CTkPAq2HGwurV9FaWyMV8hrQx62pA2ZAEDWACSQJIoV6etiCuXSHaMgjh7TDMMTmaddAjoOkT5ujHRvuRyttc8bPrxh0Cmfghy6sIvawFhjrZSqOennFREaM3B9-T66gHav7S8LAz0vmBmygpRBH_5YwHNfAFi9wXrBR3tmwISZ\/s728-e100\/2.jpg\"\/)
<\/div>\n