{"id":523735,"date":"2022-12-13T19:01:53","date_gmt":"2022-12-13T19:01:53","guid":{"rendered":"https:\/\/teknomers.com\/es\/google-lanza-la-mayor-base-de-datos-distribuida-de-vulnerabilidades-de-codigo-abierto\/"},"modified":"2022-12-13T19:01:53","modified_gmt":"2022-12-13T19:01:53","slug":"google-lanza-la-mayor-base-de-datos-distribuida-de-vulnerabilidades-de-codigo-abierto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/google-lanza-la-mayor-base-de-datos-distribuida-de-vulnerabilidades-de-codigo-abierto\/","title":{"rendered":"Google lanza la mayor base de datos distribuida de vulnerabilidades de c\u00f3digo abierto"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>13 de diciembre de 2022<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Base de datos de c\u00f3digo abierto\/vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
\"Esc\u00e1ner<\/div>\n

Google anunci\u00f3 el martes la disponibilidad de c\u00f3digo abierto de Esc\u00e1ner OSV<\/strong>un esc\u00e1ner que tiene como objetivo ofrecer un f\u00e1cil acceso a la informaci\u00f3n de vulnerabilidad sobre varios proyectos.<\/p>\n

los Herramienta basada en Go<\/a>impulsado por las vulnerabilidades de c\u00f3digo abierto (OSV<\/a>), est\u00e1 dise\u00f1ada para conectar “la lista de dependencias de un proyecto con las vulnerabilidades que las afectan”, dijo el ingeniero de software de Google, Rex Pan, en una publicaci\u00f3n compartida con The Hacker News.<\/p>\n

“OSV-Scanner genera informaci\u00f3n de vulnerabilidad confiable y de alta calidad que cierra la brecha entre la lista de paquetes de un desarrollador y la informaci\u00f3n en las bases de datos de vulnerabilidad”, agreg\u00f3 Pan.<\/p>\n

\"La<\/a><\/center><\/div>\n

La idea es identificar todas las dependencias transitivas de un proyecto y resaltar las vulnerabilidades relevantes utilizando datos extra\u00eddos de la base de datos OSV.dev.<\/p>\n

Google declar\u00f3 adem\u00e1s que la plataforma de c\u00f3digo abierto admite 16 ecosistemas, contando todos los principales idiomas, distribuciones de Linux (Debian y Alpine), as\u00ed como Android, Linux Kernel y OSS-Fuzz<\/a>.<\/p>\n

\"\"<\/div>\n

El resultado de esta expansi\u00f3n es que OSV.dev es un repositorio de m\u00e1s de 38 000 avisos, frente a las 15 000 alertas de seguridad de hace un a\u00f1o, con Linux (27,4 %), Debian (23,2 %), PyPI (9,5 %), Alpine (7,9 %) y npm (7,1 %) ocupando los cinco primeros puestos.<\/p>\n

En cuanto a los pr\u00f3ximos pasos, el gigante de Internet se\u00f1al\u00f3 que est\u00e1 trabajando para incorporar soporte para fallas de C\/C++ mediante la creaci\u00f3n de una “base de datos de alta calidad” que implica agregar “metadatos de nivel de confirmaci\u00f3n precisos a CVE”.<\/p>\n

\"\"<\/div>\n

\\<\/p>\n

OSV-Scanner llega casi dos meses despu\u00e9s de que Google lanzara GUAC, abreviatura de Graph for Understanding Artifact Composition, para complementar los niveles de la cadena de suministro para artefactos de software (SLSA<\/a> o “salsa”) como parte de sus esfuerzos para fortalecer la seguridad de la cadena de suministro de software.<\/p>\n

La semana pasada, Google tambi\u00e9n public\u00f3 un nuevo “Perspectivas sobre seguridad<\/a>informe que pide a las organizaciones que desarrollen e implementen un marco SLSA com\u00fan para evitar la manipulaci\u00f3n, mejorar la integridad<\/a>y paquetes seguros contra amenazas potenciales.<\/p>\n

Otras recomendaciones presentadas por la empresa incluyen asumir responsabilidades adicionales de seguridad de c\u00f3digo abierto y adoptar un enfoque m\u00e1s hol\u00edstico para abordar riesgos como los presentados por la vulnerabilidad Log4j y el incidente de SolarWinds en los \u00faltimos a\u00f1os.<\/p>\n

\u201cLos ataques a la cadena de suministro de software generalmente requieren una gran aptitud t\u00e9cnica y un compromiso a largo plazo para lograrlo\u201d, dijo la compa\u00f1\u00eda. “Es m\u00e1s probable que los actores sofisticados tengan tanto la intenci\u00f3n como la capacidad de realizar este tipo de ataques”.<\/p>\n

“La mayor\u00eda de las organizaciones son vulnerables a los ataques de la cadena de suministro de software porque los atacantes se toman el tiempo para apuntar a proveedores externos con conexiones confiables a las redes de sus clientes. Luego usan esa confianza para profundizar en las redes de sus objetivos finales”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n