Nueva versión de Google Scorecards analiza el software de código abierto en busca de riesgos de seguridad

0

La nueva versión de Google Scorecards analiza software de código abierto en busca de riesgos de seguridad

La nueva versión de Google Scorecards analiza software de código abierto en busca de riesgos de seguridad

Google lanzó una nueva versión de Scorecards, su herramienta de seguridad automatizada que produce una «puntuación de riesgo» para iniciativas de código abierto, con comprobaciones y capacidades mejoradas para hacer que los datos generados por la utilidad sean accesibles para su análisis.

«Con tanto software hoy en día que depende de proyectos de código abierto, los consumidores necesitan una forma fácil de juzgar si sus dependencias son seguras. Los cuadros de mando ayudan a reducir el trabajo y el esfuerzo manual necesarios para evaluar de forma continua los cambios de paquetes al mantener la cadena de suministro de un proyecto», dijo el equipo de seguridad de código abierto de Google.

Scorecards tiene como objetivo automatizar el análisis de la postura de seguridad de los proyectos de código abierto, además de utilizar las métricas de salud de seguridad para mejorar de forma proactiva la postura de seguridad de otros proyectos críticos. Hasta ahora, la herramienta se ha ampliado para evaluar los criterios de seguridad para más de 50 mil proyectos de código abierto.

Algunas de las nuevas incorporaciones incluyen comprobaciones de contribuciones de autores malintencionados o cuentas comprometidas que pueden introducir posibles puertas traseras en el código, uso de fuzzing como OSS-Fuzz, y herramientas de análisis de código estático, como CodeQL, signos de compromiso CI/CD y malas dependencias.

«Anclar dependencias es útil en todos los lugares donde tenemos dependencias: no solo durante la compilación, sino también en Dockerfiles, flujos de trabajo CI/CD, etc. Las tarjetas de puntuación comprueban estos antipatrones con la comprobación Frozen-Deps. Esta comprobación es útil para mitigar los ataques de dependencia maliciosos, como el reciente ataque CodeCov», dijo el equipo.

Google también dijo que una gran cantidad de proyectos analizados no se borran de forma continua, y que ni definen una política de seguridad para informar vulnerabilidades ni fijan dependencias, al mismo tiempo que hace énfasis en la necesidad de mejorar la seguridad de estos proyectos críticos y generar conciencia de los riesgos de seguridad generalizados.

El lanzamiento de Scorecards v2 se produce semanas después de que la compañía presentara un marco de trabajo integral llamado «Niveles de cadena de suministro para artefactos de software» (SLSA) para garantizar la integridad de los artefactos de software y evitar modificaciones no autorizadas durante el desarrollo y la implementación.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *