La seguridad de su negocio depende no solo de su código, sino de toda la cadena de suministro, que incluye componentes de terceros. Cuantos más componentes de terceros utilice, más probable será que una vulnerabilidad en su aplicación web sea el resultado de un código de terceros, no de su programación.
Los días de software como el qmail de Daniel J. Bernstein se acabaron hace mucho tiempo. Cuando Bernstein, un matemático brillante, construyó su popular servidor de correo electrónico en 1995, escribió todo desde cero: cada función. No usó ningún código de terceros en absoluto. Este fue el ingenioso enfoque de seguridad de Bernstein, que funcionó muy bien: se descubrió que qmail no tenía ninguna vulnerabilidad de seguridad durante mucho tiempo.
Este enfoque sería imposible hoy en día porque le llevaría cien veces más escribir su aplicación web desde cero. Imagínense a sus desarrolladores front-end estancados sin que Angular o jQuery y los desarrolladores back-end tengan que escribir manualmente todas las funciones para acceder a las bases de datos.
Por un lado, no tiene ninguna garantía de que el código de terceros que decida utilizar sea seguro. Todos los días aparecen nuevas vulnerabilidades en los componentes de código abierto, lo que significa que debe vigilar constantemente cada componente. Por otro lado, se necesita mucho tiempo y esfuerzo para rastrear manualmente las actualizaciones de seguridad disponibles para cada componente y saber cuándo es necesaria una actualización del componente.
Es por eso que necesita Análisis de Composición de Software (SCA).
Análisis de composición de software tradicional
El concepto de análisis de composición de software no es nuevo y el software creado específicamente para ese propósito ha existido durante mucho tiempo. Sin embargo, este software siempre ha sido estático, al igual que las herramientas SAST.
La forma en que funcionan las herramientas SCA es muy sencilla. Por lo general, interactúan con los administradores de paquetes de software, que son los que utilizan los entornos de desarrollo actuales para importar componentes. Verifican todos los paquetes de software que se importan y comparan esa información con las bases de datos de vulnerabilidades existentes. Por ejemplo, pueden identificar que su administrador de paquetes importa jQuery 2.2.4 y luego encontrar CVE-2015-9251, que indica que las versiones de jQuery anteriores a la 3.0.0 son vulnerables a las secuencias de comandos entre sitios (XSS) .
Análisis dinámico de composición de software
Un enfoque dinámico de SCA es un nuevo concepto introducido por Acunetix, que implica combinar las capacidades de IAST y SCA juntas. AcuSensor, el módulo Acunetix IAST, tiene acceso a información sobre los paquetes de software instalados. Por lo tanto, puede identificar inmediatamente todos los componentes que utiliza para su aplicación web.
Una vez que AcuSensor identifica los componentes, comprueba si son seguros utilizando NVD (base de datos nacional de vulnerabilidades) estándar de la industria que nuestro equipo de expertos extiende para incluir otras vulnerabilidades conocidas. Como resultado, su análisis de vulnerabilidades incluye información no solo sobre vulnerabilidades sino también sobre componentes vulnerables.
Lo que obtiene con SCA dinámico
SCA no lo ayudará a encontrar más vulnerabilidades existentes, pero lo protegerá contra ellas en el futuro. Con SCA, puede descubrir componentes vulnerables incluso si aún no utiliza sus funciones vulnerables. De esta manera, puede evitar el problema incluso antes de que suceda y actualizar el componente vulnerable a una versión segura incluso antes de introducir una vulnerabilidad. Esto le ahorra tiempo y elimina el riesgo de exponer una función vulnerable en el entorno de producción.
El mayor beneficio de usar Acunetix SCA es que no necesita ningún software adicional, ninguna integración adicional, su equipo de seguridad no tiene que ejecutar ningún escaneo adicional ni obtener informes adicionales; la información de SCA está incluida en su Acunetix + AcuSensor habitual escanear. Esto le ahorra tiempo y dinero. Obtiene una herramienta SCA de vanguardia como parte de su DAST + IAST.
Autor: Tomasz Andrzej Nidecki
