Integrando seguridad y agilidad en la cadena de suministro: mejores prácticas y recomendaciones (1/2)

— Post invitado, escrito por Jesús Cuadro, Chief Product Officer de Xygeni

Los ataques a la cadena de suministro de software se han vuelto más frecuentes en los últimos años, con actores maliciosos que explotan las vulnerabilidades para atacar a las organizaciones.

Estos ataques no son nuevos, pero la industria ahora está prestando más atención. Los ataques a la cadena de suministro de software también son más sofisticados porque las cadenas de suministro de software son muy complejas y constan de varios componentes que cambian constantemente.

Esta complejidad significa que existen numerosas vías para los atacantes, incluidos los repositorios de software de código abierto. Según GitHub, el 85-97 % de las bases de código empresariales provienen de repositorios de código abierto. Los repositorios Npm y PyPI han experimentado un aumento del 300 % en los ataques durante los últimos cuatro años.

Por ejemplo, IconBurst es un excelente ejemplo de los ataques a la cadena de suministro de software que prevalecen en la actualidad. Descargado más de 17 000 veces, fue un poderoso ataque que ocurrió el año pasado y que involucró a más de 24 paquetes de typosquatting en npm. Por lo tanto, las organizaciones deben comprender los ataques a la cadena de suministro de software y tomar medidas para proteger su ecosistema DevOps.

Nuevos enfoques

Las organizaciones que buscan proteger sus cadenas de suministro de software deben seleccionar las herramientas adecuadas. Sin embargo, la mayoría de las tecnologías de pruebas de seguridad de aplicaciones (AST) y desarrollo seguro no cubren de manera integral todas las amenazas de la cadena de suministro.

Si bien las pruebas de seguridad de aplicaciones dinámicas o estáticas (DAST/SAST) son fundamentales para SDLC, no abordan la manipulación del software ni los riesgos que plantean las bibliotecas de código abierto y de terceros comprometidas. Del mismo modo, el análisis de composición de software (SCA) puede examinar los componentes de código abierto, pero a menudo pasa por alto los módulos maliciosos y no proporciona una cobertura de seguridad completa.

Por lo tanto, se deben considerar herramientas modernas como Xygeni que superen estas capacidades para proporcionar a los desarrolladores los recursos necesarios para el éxito. Los expertos coinciden en que el cambio es esencial, ya que los equipos de desarrollo actuales deben estar equipados para el éxito.

Se debe implementar un sistema de controles y equilibrios desde las etapas iniciales del desarrollo de software para garantizar la seguridad de la cadena de suministro de software. Incluso antes de escribir la primera línea de código, es crucial considerar las siguientes medidas preventivas:

  • Determinar quién tendrá acceso al código, incluidas las partes internas y externas.
  • Definición de la propiedad sobre las aprobaciones de código
  • Establecimiento de una cadena de custodia y control de versiones
  • Implementar medidas de seguridad básicas para evitar la inyección de código malicioso.
  • Crear mecanismos para responder a las alteraciones del código por parte de malos actores

Si no se implementan estos pasos, se pueden producir ataques devastadores, como demandas de ransomware, que afectan a su organización, socios y clientes.

El martes que viene os dejamos la segunda parte del post, en la que trataremos mejores prácticas y recomendaciones para los anteriores.

The post Integrando seguridad y agilidad en la cadena de suministro: mejores prácticas y recomendaciones (1/2) appeared first on Javier Garzas.



Fuente: Javier Garzás (Integrando seguridad y agilidad en la cadena de suministro: mejores prácticas y recomendaciones (1/2)).