El software de código abierto es mucho más importante de lo que muchos podrían creer, ya que hasta el 95% de las implementaciones de software comercial populares contienen código abierto. Ante esta condición predominante, muchos se preguntan: ¿cómo hacer para saber qué bibliotecas o componentes son suficientemente seguros? Google, en colaboración con Open Source Security Foundation (OSSF) parecen haber encontrado la respuesta con el lanzamiento de la nueva versión del proyecto OpenSSF Security Scorecards.
Scorecards es una herramienta de seguridad automatizada que genera una “puntuación de riesgo” para los programas de código abierto. Eso es importante ya que actualmente son muy pocas las organizaciones que cuentan con sistemas de verificación de software de código abierto debido a la dificultad de realizar estas revisiones, impactando directamente en la seguridad del producto final.
Si bien las primeras versiones de la herramienta demostraron ser funcionales, Scorecards v2 podrá brindar a los usuarios una experiencia mucho mejor. Los desarrolladores de este proyecto esperan facilitar algunos procesos de verificación para lograr un entorno de seguridad más confiable, implementando comprobaciones nuevas e incrementando el número de proyectos a analizar.
Entre las nuevas características de Scorecards v2 se encuentran:
- Identificación de riesgos: Los desarrolladores del proyecto agregaron varias comprobaciones nuevas, siguiendo otros marcos de trabajo populares
- Detección de colaboradores malintencionados: Implementar backdoors en las revisiones era, hasta ahora, una posibilidad real en Scorecards. Con la nueva verificación, los desarrolladores podrán comprobar que el proyecto exige la revisión obligatoria del código por parte de otro desarrollador antes de su confirmación.
- Detección de código vulnerable: La herramienta permitirá la implementación de pruebas de código estático y fuzzing continuo para detectar errores en las primeras etapas del ciclo de vida del desarrollo
- Dependencias vulnerables: Los programas son tan seguros como su dependencia más débil. Identificar los puntos más expuestos de un proyecto permitirá a los desarrolladores evaluar cualquier posible riesgo de seguridad y tomar las decisiones adecuadas para su mitigación
El anuncio concluye recordando que es importante conocer las vulnerabilidades de un proyecto antes de usarlo como dependencia. Scorecards puede proporcionar información realmente útil a través de la nueva verificación de vulnerabilidades, lo que sin duda apoyará a la comunidad del código abierto para crear entornos mucho más seguros.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
