La mayoría de los desarrolladores de software incluyen paquetes de software de código abierto en su ciclo de desarrollo y, a menudo, confían implícitamente en la integridad de dichos paquetes. Sin embargo, el software de código abierto contiene con frecuencia graves vulnerabilidades y amenazas intencionalmente ocultas, lo que puede poner en riesgo los productos que utilizan estos paquetes y hacerlos vulnerables a la manipulación, incluidos los temibles ataques a la cadena de suministro.
A medida que el número y la gravedad de las ciberamenazas siguen aumentando, la metodología clásica de DevOps para el desarrollo de software empieza a cambiar hacia un enfoque más centrado en la seguridad, también conocido como DevSecOps, que aboga por la implementación de las prácticas de seguridad desde las etapas iniciales de planificación y diseño hasta el desarrollo, las pruebas y los procesos posteriores. Obviamente, esta mentalidad también debe aplicarse a cualquier software de código abierto utilizado en el ciclo de desarrollo.
Kaspersky diseñó una valiosa fuente de datos para ayudar a aplicar este enfoque de seguridad a los programas de código abierto: Kaspersky Open Source Software Threats Data Feed. Es un conjunto de datos sin binarios y solo en texto que revela las amenazas y vulnerabilidades en los millones de paquetes de código abierto conocidos por Kaspersky.
Esta fuente de datos cubre los siguientes tipos de amenazas:
- Paquetes con vulnerabilidades
- Paquetes con código malicioso
- Paquetes que contienen riskware, como criptomineros, herramientas de piratería, etc.
- Paquetes en riesgo que contienen eslóganes políticos o que alteran su funcionalidad en regiones específicas
La fuente proporciona información acerca de los paquetes de los siguientes repositorios*, que se analizan de forma regular:
- Pypi
- Npm
- Nuget
- Maven
- Composer
- Go
- Rpm
- Debian
Todos los paquetes de todos los repositorios se comparan automáticamente con los siguientes avisos de vulnerabilidad:
- Aviso de seguridad de GitHub
- CVE MITRE
- Aviso de seguridad de Debian
- Alertas de seguridad de CentOS
- Aviso de seguridad de RedHat (solo se proporcionan vínculos cruzados a este aviso).
Junto con la lista de paquetes, también se proporciona el siguiente contexto útil:
- Para vulnerabilidades:
- Conexión con el ecosistema
- Impacto en el sistema
- Lista de versiones vulnerables
- Versiones vulnerables de CPE para automatización
- Listas de versiones recomendadas con vulnerabilidades con parches
- Compatibilidad con versiones del SO (para paquetes *nix)
- Vínculos cruzados a los avisos de vulnerabilidad
- Hashes de exploits usados actualmente en circulación
- Para paquetes maliciosos y en riesgo:
- Conexión con el ecosistema
- Impacto del sistema: malware, herramientas de piratería, otros
- Gravedad
- Versiones de paquetes en riesgo
- Hashes de versiones de paquetes en riesgo
- CWE (Enumeración de debilidades comunes): por el momento, solo para paquetes de malware
El caso de uso recomendado para la fuente de datos de amenazas de software de código abierto es el siguiente: vincule los paquetes de la fuente con los paquetes utilizados en el desarrollo en función de uno o varios parámetros, como el nombre del paquete, la versión del paquete, etc.
La fuente se entrega en formato JSON.
NB: Las herramientas del cliente deben realizar la vinculación, ya que Kaspersky solo proporciona una fuente de texto. De este modo, esta y todas las demás fuentes de datos de Kaspersky son 100 % seguras para cualquier empresa y entidad, incluso aquellas de países que de otro modo podrían ser reacios a adoptar productos de Kaspersky.
Si desea obtener más información, haga clic en el botón COMUNÍQUESE CON NOSOTROS que aparece a continuación e indique que necesita más información sobre Kaspersky Open Source Software Threats Data Feed. Nuestro representante se pondrá en contacto con usted a la brevedad.