En un mundo donde cada vez más organizaciones adoptan componentes de código abierto como bloques fundamentales en la infraestructura de sus aplicaciones, es difícil considerar las SCA tradicionales como mecanismos de protección completos contra las amenazas de código abierto.
El uso de bibliotecas de código abierto ahorra toneladas de tiempo de codificación y depuración y, por lo tanto, acorta el tiempo de entrega de nuestras aplicaciones. Pero, a medida que las bases de código se componen cada vez más de software de código abierto, es hora de respetar toda la superficie de ataque (incluidos los ataques a la propia cadena de suministro) al elegir un plataforma SCA depender de.
El impacto de una dependencia
Cuando una empresa agrega una biblioteca de código abierto, probablemente esté agregando no solo la biblioteca que pretendía, sino también muchas otras bibliotecas. Esto se debe a la forma en que se construyen las bibliotecas de código abierto: al igual que cualquier otra aplicación en el planeta, apuntan a una velocidad de entrega y desarrollo y, como tales, dependen del código creado por otras personas, es decir, otras bibliotecas de código abierto. .
Los términos reales son dependencia directa (un paquete que usted agrega a su aplicación) y dependencia transitiva (que es un paquete agregado implícitamente por sus dependencias). Si su aplicación usa el paquete A y el paquete A usa el paquete B, entonces su aplicación indirectamente depende en el paquete B.
Y si el paquete B es vulnerable, su proyecto también lo es. Este problema dio origen al mundo de las SCA (plataformas de análisis de composición de software) que pueden ayudar a detectar vulnerabilidades y sugerir soluciones.
Sin embargo, las SCA solo resuelven el problema de las vulnerabilidades. ¿Qué pasa con los ataques a la cadena de suministro?
Hoja de referencia sobre las mejores prácticas de seguridad de la cadena de suministro
Los ataques a la cadena de suministro de software van en aumento.
De acuerdo a Las predicciones de Gartnerpara 2025, 45% de las organizaciones será afectado. Las herramientas tradicionales de Análisis de Composición de Software (SCA) no son suficientes y ahora es el momento de actuar.
Descargue nuestra hoja de referencia para descubrir los cinco tipos de ataques críticos a la cadena de suministro y comprender mejor los riesgos. Implemente las 14 mejores prácticas enumeradas al final de la hoja de trucos para defenderse de ellas.
Ataques VS. Vulnerabilidades
Puede que no sea obvio lo que entendemos por riesgo «desconocido». Antes de profundizar en la diferenciación, consideremos primero la diferencia entre vulnerabilidades y ataques:
Una vulnerabilidad:
- Un error no deliberado (aparte de ataques sofisticados muy específicos)
- Identificado por un CVE
- Registrado en bases de datos públicas.
- Defensa posible antes de la explotación.
- Incluye vulnerabilidades normales y de día cero.
- Ejemplo: Log4Shell es una vulnerabilidad
Un ataque a la cadena de suministro:
- Una actividad maliciosa deliberada
- Carece de identificación CVE específica
- Sin seguimiento por SCA estándar y bases de datos públicas
- Por lo general, ya se intentó explotar o activar de forma predeterminada.
- Ejemplo: SolarWinds es un ataque a la cadena de suministro
Un riesgo desconocido es, casi por definición, un ataque en la cadena de suministro que no es fácilmente detectable por su plataforma SCA.
¡Las herramientas SCA no son suficientes!
Puede parecer que las herramientas SCA resuelven el problema de protegerlo de los riesgos de la cadena de suministro, pero no abordan ninguno de los riesgos desconocidos (incluidos todos los ataques importantes a la cadena de suministro) y lo dejan expuesto en una de las piezas más críticas de su infraestructura.
Por lo tanto, se necesita un nuevo enfoque para mitigar los riesgos conocidos y desconocidos en el panorama de la cadena de suministro en constante evolución. esta guía revisa todos los riesgos conocidos y desconocidos en su cadena de suministro, sugiere una nueva forma de ver las cosas y proporciona una excelente referencia (¡o introducción!) al mundo de los riesgos de la cadena de suministro.