Google Cloud lanza Assured OSS para mejorar la seguridad en el software de código abierto

El software de código abierto y los riesgos de seguridad en la cadena de suministro de software siguen siendo una preocupación primaria para los desarrolladores y las organizaciones. Según un estudio de 2023 realizado por la empresa de diseño y automatización electrónica Synopsys, el 84% de los repositorios de código de software de código abierto contenían al menos una vulnerabilidad conocida, un aumento de casi el 4% respecto al año pasado, y el 48% contenía una vulnerabilidad de alto riesgo.

Google Cloud lanza Assured OSS para mejorar la seguridad en el software de código abierto - Seguridad | Imagen 1 Newsmatic

En respuesta a las amenazas ocultas en el software de código abierto, Google Cloud está proporcionando su servicio de Software de Código Abierto Asegurado para los ecosistemas de Java y Python de forma gratuita. El Assured OSS gratuito ofrece a cualquier organización acceso a paquetes de código de base probados por Google que Google utiliza en sus flujos de trabajo.

Esta oferta se produce poco después de que Google Cloud decidiera ofrecer su defensa de denegación de servicio distribuida Project Shield a sitios web gubernamentales, periodistas de noticias e independientes, sitios relacionados con elecciones y votaciones, y sitios que abordan los derechos humanos, en respuesta al aumento de los ataques DDoS de motivación política.

Índice de Contenido
  1. Assured OSS, un jardín amurallado para los repositorios de código abierto
  2. Características de Assured OSS
  3. Protegiendo los repositorios de código desde las pruebas de fuzz hasta el cumplimiento de SLSA
    1. Pruebas de fuzz
    2. Salsa para software
    3. Metadatos enriquecidos
    4. Firmas para software
  4. Enfoque en paquetes de Java y Python
  5. Crecimiento masivo en OSS y vulnerabilidades de OSS

Assured OSS, un jardín amurallado para los repositorios de código abierto

Google lanzó Assured OSS en mayo de 2022 en parte para abordar el rápido crecimiento de los ataques a proveedores de software de código abierto, según Andy Chang, gerente de productos de seguridad y privacidad de Google. Citó fuentes de la industria que informaron un aumento del 650% en los ataques a la cadena de suministro de software en 2021, cuando el uso de OSS aumentó drásticamente.

Chang dijo a Newsmatic que, desde que la compañía anunció y lanzó por primera vez Assured OSS, tenían la intención de que el servicio pudiera satisfacer a los equipos y desarrolladores de DevSecOps donde se encuentren actualmente, con la canalización y las herramientas que ya usan y aprovechan a diario.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

"Los ataques a la cadena de suministro de software que apuntan al código abierto siguen aumentando. La ingestión segura de paquetes de código abierto es un desafío generalizado para organizaciones y desarrolladores, sin importar dónde elijan construir código", dijo. "Google está en una posición única para ayudar en esta área, ya que ha sido un contribuyente, responsable y usuario a largo plazo de software de código abierto y ha desarrollado un conjunto sólido de tecnología, procesos, capacidades de seguridad y controles".

Articuló cuatro elementos clave tras el aumento de los ataques:

  • Proliferación de OSS.
  • El aumento en el ritmo de implementaciones, especialmente con la tendencia de los contenedores, los microservicios y un número cada vez mayor de servicios de datos en la nube.
  • Muchos vectores de ataque atacan todas las capas de la pila: hardware, sistemas de infraestructura, sistemas operativos, middleware, servicios de aplicaciones, APIs y el punto de entrada más vulnerable: los seres humanos.
  • Brechas en la estandarización en torno a las herramientas necesarias para administrar integralmente el ciclo de vida del producto y la información de seguridad y riesgo.

Google Cloud lanza Assured OSS para mejorar la seguridad en el software de código abierto - Seguridad | Imagen 2 Newsmatic

Mike McGuire, gerente senior de soluciones de software en el grupo de integridad de software de Synopsys, la unidad de seguridad de aplicaciones de la compañía, explicó que Google tiene un interés directo en que la comunidad de código abierto sea lo más segura posible.

"La comunidad de código abierto realmente es eso: una 'comunidad' que funciona mejor cuando sus miembros no solo toman, sino también contribuyen, y Google siempre ha apoyado eso con sus acciones", dijo. "Google claramente tiene muchas herramientas, procesos y marcos en su lugar para garantizar la integridad de sus dependencias y canalización de desarrollo, por lo que simplemente están compartiendo los frutos de esos esfuerzos con la comunidad en general".

Agregó que Google está trabajando en la construcción de su plataforma de desarrollo de aplicaciones nativas en la nube. " Y esa plataforma es aún más valiosa cuando utilizarla significa preocuparse menos por las complicadas amenazas a la cadena de suministro de software".

Cómo proteger tu computadora de los virus: métodos y consejos

Características de Assured OSS

Google afirmó que los paquetes de código que están disponibles como parte del programa Assured OSS de Google:

  • Se escanean, analizan y prueban con fuzz regularmente en busca de vulnerabilidades.
  • Tienen metadatos enriquecidos correspondientes que incorporan datos de análisis de contenedores/arte.
  • Se construyen con Cloud Build, incluida la evidencia de cumplimiento verificable de SLSA.
  • Llevan la firma verificable de Google.
  • Se distribuyen a través de un Registro de Artefactos asegurado y protegido por Google.

Protegiendo los repositorios de código desde las pruebas de fuzz hasta el cumplimiento de SLSA

Proteger los repositorios de código implica abordar los posibles puntos de entrada para los atacantes y también probar el software en busca de casos límite, o debilidades en áreas inesperadas.

McGuire dijo que Google tiene estándares rigurosos cuando se trata de los paquetes en los que confían, y para aquellos en los que lo hacen, básicamente los respaldan al público y proporcionan pruebas de sus esfuerzos para evaluar estos componentes.

"Assured OSS proporciona claramente valor a las organizaciones que buscan orientación sobre qué paquetes son confiables dentro del vasto universo de código abierto", dijo. "Pero es importante que también tengan las herramientas a mano para evitar que los componentes problemáticos ingresen a su canal de desarrollo, así como para monitorear continuamente los componentes previamente confiables en busca de problemas recién descubiertos".

Google Cloud lanza Assured OSS para mejorar la seguridad en el software de código abierto - Seguridad | Imagen 3 Newsmatic

Pruebas de fuzz

Chang explicó que las pruebas de fuzz, también conocidas como "fuzzing", emplean entradas inválidas, inesperadas o aleatorias para exponer un comportamiento irregular, como fugas de memoria, bloqueos o funcionalidades no documentadas.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Salsa para software

El marco SLSA (Niveles de cadena de suministro para artefactos de software), pronunciado "salsa", agrega un nivel de seguridad al ciclo de vida del desarrollo de software. "Hoy en día, los desarrolladores de software se enfrentan al desafío de tomar decisiones informadas sobre el software externo que incorporan en sus propios sistemas", dijo Chang. "Especialmente si es propiedad y está operado por un tercero".

Dijo que SLSA formaliza los criterios en torno a la integridad de la cadena de suministro de software y ayuda a las empresas a dar pasos incrementales hacia una cadena de suministro de software más segura mediante la adición de pautas de seguridad para abordar las amenazas más comunes en el panorama actual.

"Cuando el software se proporciona en un nivel SLSA asegurado y atestiguado, los clientes saben de antemano qué riesgos han sido mitigados por el proveedor", explicó.

"SLSA es, en pocas palabras, un marco introducido por Google que se puede utilizar para evaluar la seguridad tanto de los paquetes de software como de los ciclos de vida de desarrollo que los construyeron y los entregaron", agregó McGuire. "En lo que respecta a Assured OSS, los paquetes que Google respalda como parte de este programa se han construido, evaluado y entregado de acuerdo con el estándar SLSA, que tiene como objetivo garantizar a la comunidad la integridad de los paquetes", dijo.

Metadatos enriquecidos

Según Chang, los metadatos enriquecidos que incorporan datos de análisis de contenedores son fundamentales porque "cuanto más sepa sobre el software de código abierto que se está utilizando, mejores decisiones podrán tomar los equipos de DevSecOps en relación con la aplicación de políticas y la gestión del riesgo".

Ofreció ejemplos de cómo los clientes pueden utilizar los metadatos enriquecidos con paquetes de Assured OSS:

Protege tus contraseñas con PAM: Tu aliado para la seguridad
  • Revisar las listas proporcionadas de dependencias transitivas para comprender qué más puede verse afectado.
  • Revisar el nivel de SLSA para ayudar a guiar las políticas de admisión y los sistemas de protección que establezcan para que los paquetes avancen en su proceso de desarrollo.
  • Revisar los datos VEX, o vulnerabilidad, explotabilidad e intercambio, para comprender mejor cuáles son las vulnerabilidades más impactantes en los componentes de código abierto.
  • Comprender los datos del archivo de licencia proporcionado para que los clientes puedan aplicar políticas según sea necesario para cumplir con las políticas internas de su oficina de programas de código abierto.

Firmas para software

Al igual que un cheque firmado, la firma verificable que Assured OSS proporciona tanto para sus binarios como para los metadatos permite a los clientes verificar fácilmente que los binarios y los metadatos provienen de Google y no han sido manipulados durante la distribución, según Chang.

"Además, debido a que los metadatos están firmados, los clientes pueden tener la confianza de que los detalles contenidos en los metadatos, incluida la forma en que se construye el paquete, los pasos de construcción, qué herramientas de construcción tocaron el código y qué herramientas de escaneo de seguridad se ejecutaron en el código, todo es tal como estaba cuando Google los creó", dijo.

Enfoque en paquetes de Java y Python

Google dijo que el programa Assured OSS hará posible que las organizaciones obtengan paquetes de OSS de una fuente verificada y sepan de qué está compuesto el software porque incluye el estado de cuenta de software de Google, generalmente conocido como SBOM. La compañía dijo que el proyecto Assured OSS incluye 1.000 paquetes de Java y Python y reduce la necesidad de que los equipos de DevOps establezcan y operen sus propios flujos de trabajo de seguridad de OSS.

"El uso de métodos como las pruebas de fuzz, y la inclusión de metadatos de análisis de contenedores o artefactos, sirve para certificar los esfuerzos de seguridad realizados", dijo McGuire. "De hecho, poder realizar este tipo de pruebas de seguridad en dependencias y brindar este nivel de información podría ser un indicio de lo que está por venir en un futuro cercano para los productores de software, especialmente para aquellos que hacen negocios en industrias altamente reguladas".

Crecimiento masivo en OSS y vulnerabilidades de OSS

El informe anual número 8 de Seguridad y Análisis de Riesgos de Software de Código Abierto (OSSRA) de Synopsys, basado en 1.700 auditorías en 17 sectores, encontró lo siguiente:

  • Aumento del 163% en el uso de OSS por parte del sector EdTech.
  • Aumento del 97% en el uso de OSS por parte de los sectores aeroespacial, aviación, automotriz, transporte y logística, con un aumento del 232% en las vulnerabilidades de alto riesgo.
  • Crecimiento del 74% en el uso de OSS por parte de los sectores manufacturero y de robótica.
  • Aumento del 557% en las vulnerabilidades de alto riesgo en el sector minorista y de comercio electrónico desde 2019.
  • El 89% del código total es de código abierto, y un aumento del 130% en las vulnerabilidades de alto riesgo en el mismo período.
  • El 31% de los repositorios de código utilizan software de código abierto sin una licencia discernible o con licencias personalizadas.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Google Cloud lanza Assured OSS para mejorar la seguridad en el software de código abierto , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.