Socket: Nueva Herramienta que adopta un enfoque proactivo para Prevenir los Ataques a la Cadena de Suministro de Software de Código Abierto (OSS)

Categorias: General

Socket

Un grupo de mantenedores de paquetes de software ha creado una herramienta para defender aplicaciones que dependen de bibliotecas JavaScript de código abierto. La herramienta tiene como objetivo ayudar a los desarrolladores a adelantarse a las amenazas.

Socket

Llamada Socket, la herramienta utiliza una nueva defensa proactiva contra los ataques a la cadena de suministro de software de código abierto (OSS – Open Source Software).

Los ataques a la cadena de suministro ocurren cuando un pirata informático compromete un paquete y lo usa para distribuir código malicioso a las aplicaciones que dependen de él. La táctica se ha convertido en una amenaza creciente, especialmente a medida que más y más aplicaciones dependen cada vez más de componentes de software de código abierto (Open Source).

Disponible en GitHub

Socket está disponible como una aplicación gratuita de código abierto en GitHub, así como también es gratuita para repositorios privados mientras la herramienta está en pruebas durante su fase beta.

Los métodos tradicionales se quedan cortos

“Todos en el equipo de Socket somos mantenedores de código abierto. Juntos, tenemos más de mil millones de descargas mensuales a nuestro nombre”, dijo Feross Aboukhadijeh, fundador y director ejecutivo de Socket, a The Daily Swig. “Fuimos testigos de primera mano de cómo los ataques a la cadena de suministro se extendieron por las comunidades de código abierto y dañaron la confianza en el código abierto”.

Mantener la seguridad en el software de código abierto es cada vez más complicado, especialmente porque cada dependencia puede generar docenas o cientos de dependencias transitivas.

La industria de seguridad se centra principalmente en las vulnerabilidades que ya se han descubierto. Hay muchos escáneres CVE que monitorizan las aplicaciones en busca de vulnerabilidades conocidas.

Pero las vulnerabilidades pueden tardar semanas o meses en descubrirse, y su aparición no detendrá los ataques a la cadena de suministro de software de código abierto (OSS – Open Source Software), advierte Aboukhadijeh.

Feross Aboukhadijeh

Un estudio de 2020 muestra que, en promedio, un paquete malicioso está disponible durante 209 días antes de ser informado públicamente. Otro afirma que el 20 % del malware “persiste en los administradores de paquetes durante más de 400 días y tiene más de 1000 descargas”.

“En la cultura actual de desarrollo rápido, una dependencia maliciosa puede actualizarse, fusionarse y ejecutarse en producción en días o incluso horas”, dijo Aboukhadijeh. «Este no es tiempo suficiente para crear un CVE y llegar a las herramientas de escaneo de vulnerabilidades que usan los equipos».

Un enfoque proactivo

Socket se ha diseñado asumiendo que todos los paquetes de código abierto pueden ser maliciosos. En lugar de buscar vulnerabilidades conocidas, intenta detectar signos de paquetes comprometidos.

Según Aboukhadijeh, Socket utiliza la «inspección profunda de paquetes» para caracterizar el comportamiento de un paquete de código abierto. Analiza tanto el código del paquete como el comportamiento del mantenedor para detectar los signos reveladores de un ataque a la cadena de suministro.

Socket ejecuta un análisis estático en un paquete de JavaScript y todas sus dependencias para buscar marcadores de riesgo, como scripts de instalación, código ofuscado, cadenas de alta entropía o uso de API privilegiadas como shell, red, sistema de archivos, eval() y variables de entorno.

Socket Web

“Por ejemplo, si un nuevo parche o una versión menor de un paquete añade un script de instalación y un nuevo código para comunicarse con la red, eso es una gran señal de alerta y algo que todos los equipos deberían saber antes de actualizar a la nueva versión. ”, dijo Aboukhadijeh. «Buscar solo estas dos señales habría detenido un gran porcentaje de ataques recientes a la cadena de suministro de npm».

Socket tiene un total de 70 marcadores de detección en cinco categorías diferentes: riesgo de la cadena de suministro, calidad, mantenimiento, vulnerabilidades conocidas y licencia.

“Usamos cada uno de estos problemas como señales en la fórmula de riesgo de la cadena de suministro que determina si generaremos una alerta”, explicó Aboukhadijeh.

Un futuro con más lenguajes e integraciones

En futuro próximo, el equipo desarrollador de Socket, pondrá más técnicas de detección de riesgos, así como funciones avanzadas de generación de informes. También añadirá soporte para más lenguajes (Java, Go, Python) e integraciones con otras plataformas (GitLab, Bitbucket).

Hosting SSD con Cuentas de Correo Ilimitadas

En los Hosting SSD de Hostinet puedes crear todas los cuentas de email que necesites para tu proyecto web. Después, estas cuentas las puedes configurarlas por POP o IMAP, en tabletas, smartphones, clientes de correo electrónico como Outlook y Thunderbird, y así enviar todos emails que necesites a tus clientes, amigos o familiares. También puedes usar el servicio de correo vía web (Webmail), desde cualquier lugar, desde cualquier navegador.

Hosting SSD NVMe