Socket: Nueva Herramienta que adopta un enfoque proactivo para Prevenir los Ataques a la Cadena de Suministro de Software de Código Abierto (OSS)

Categorias: General

Socket

Un grupo de mantenedores de paquetes de software ha creado una herramienta para defender aplicaciones que dependen de bibliotecas JavaScript de código abierto. La herramienta tiene como objetivo ayudar a los desarrolladores a adelantarse a las amenazas.

Socket

Llamada Socket, la herramienta utiliza una nueva defensa proactiva contra los ataques a la cadena de suministro de software de código abierto (OSS – Open Source Software).

Los ataques a la cadena de suministro ocurren cuando un pirata informático compromete un paquete y lo usa para distribuir código malicioso a las aplicaciones que dependen de él. La táctica se ha convertido en una amenaza creciente, especialmente a medida que más y más aplicaciones dependen cada vez más de componentes de software de código abierto (Open Source).

Disponible en GitHub

Socket está disponible como una aplicación gratuita de código abierto en GitHub, así como también es gratuita para repositorios privados mientras la herramienta está en pruebas durante su fase beta.

Los métodos tradicionales se quedan cortos

“Todos en el equipo de Socket somos mantenedores de código abierto. Juntos, tenemos más de mil millones de descargas mensuales a nuestro nombre”, dijo Feross Aboukhadijeh, fundador y director ejecutivo de Socket, a The Daily Swig. “Fuimos testigos de primera mano de cómo los ataques a la cadena de suministro se extendieron por las comunidades de código abierto y dañaron la confianza en el código abierto”.

Mantener la seguridad en el software de código abierto es cada vez más complicado, especialmente porque cada dependencia puede generar docenas o cientos de dependencias transitivas.

La industria de seguridad se centra principalmente en las vulnerabilidades que ya se han descubierto. Hay muchos escáneres CVE que monitorizan las aplicaciones en busca de vulnerabilidades conocidas.

Pero las vulnerabilidades pueden tardar semanas o meses en descubrirse, y su aparición no detendrá los ataques a la cadena de suministro de software de código abierto (OSS – Open Source Software), advierte Aboukhadijeh.

Feross Aboukhadijeh

Un estudio de 2020 muestra que, en promedio, un paquete malicioso está disponible durante 209 días antes de ser informado públicamente. Otro afirma que el 20 % del malware “persiste en los administradores de paquetes durante más de 400 días y tiene más de 1000 descargas”.

“En la cultura actual de desarrollo rápido, una dependencia maliciosa puede actualizarse, fusionarse y ejecutarse en producción en días o incluso horas”, dijo Aboukhadijeh. «Este no es tiempo suficiente para crear un CVE y llegar a las herramientas de escaneo de vulnerabilidades que usan los equipos».

Un enfoque proactivo

Socket se ha diseñado asumiendo que todos los paquetes de código abierto pueden ser maliciosos. En lugar de buscar vulnerabilidades conocidas, intenta detectar signos de paquetes comprometidos.

Según Aboukhadijeh, Socket utiliza la «inspección profunda de paquetes» para caracterizar el comportamiento de un paquete de código abierto. Analiza tanto el código del paquete como el comportamiento del mantenedor para detectar los signos reveladores de un ataque a la cadena de suministro.

Socket ejecuta un análisis estático en un paquete de JavaScript y todas sus dependencias para buscar marcadores de riesgo, como scripts de instalación, código ofuscado, cadenas de alta entropía o uso de API privilegiadas como shell, red, sistema de archivos, eval() y variables de entorno.

Socket Web

“Por ejemplo, si un nuevo parche o una versión menor de un paquete añade un script de instalación y un nuevo código para comunicarse con la red, eso es una gran señal de alerta y algo que todos los equipos deberían saber antes de actualizar a la nueva versión. ”, dijo Aboukhadijeh. «Buscar solo estas dos señales habría detenido un gran porcentaje de ataques recientes a la cadena de suministro de npm».

Socket tiene un total de 70 marcadores de detección en cinco categorías diferentes: riesgo de la cadena de suministro, calidad, mantenimiento, vulnerabilidades conocidas y licencia.

“Usamos cada uno de estos problemas como señales en la fórmula de riesgo de la cadena de suministro que determina si generaremos una alerta”, explicó Aboukhadijeh.

Un futuro con más lenguajes e integraciones

En futuro próximo, el equipo desarrollador de Socket, pondrá más técnicas de detección de riesgos, así como funciones avanzadas de generación de informes. También añadirá soporte para más lenguajes (Java, Go, Python) e integraciones con otras plataformas (GitLab, Bitbucket).

Hosting SSD con Cuentas de Correo Ilimitadas

En los Hosting SSD de Hostinet puedes crear todas los cuentas de email que necesites para tu proyecto web. Después, estas cuentas las puedes configurarlas por POP o IMAP, en tabletas, smartphones, clientes de correo electrónico como Outlook y Thunderbird, y así enviar todos emails que necesites a tus clientes, amigos o familiares. También puedes usar el servicio de correo vía web (Webmail), desde cualquier lugar, desde cualquier navegador.

  • SSD 7510´99 / mes
  • SSD 508´99 / mes
  • SSD 256´99 / mes
  • SSD 52´99 / mes
  • SSD 7510´99/mes
  • SSD 508´99/mes
  • SSD 256´99/mes
  • SSD 52´99/mes
    • Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Almacenamiento en disco dura ultra rapido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Tras evaluación de nuestro equipo de migraciones y nuevas altas de Hosting
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Todo lo que necesitas para sacar partido a tu Host
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opcion de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Opción de contratación de certificados SSL Wildcard. Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUI
    • Opción de contratación de certificados SSL Extended Validation (EV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUI
    • Opción de contratación de certificados SSL Organization Validation (OV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUI
    • Con nuestra herramienta WebFácil construye tu página web en solo 5 pasos.
    • Con la herramienta de instalación Softaculous tan solo deberás elegir la aplicación deseada y con tan solo un par de clicks y de forma totalmente automatizada tendrás tus herramientas favoritas instaladas en tu Host.
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting y Dominios
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Copia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por HostinetCopia diaria incremental realizada por Hostinet
    • Podrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento webPodrás hacer tus copias de seguridad desde tu panel de alojamiento web
    • Precios para nuevas altas. Contratación anual.Precios para nuevas contrataciones. Contratación anual.Precios para nuevas contrataciones. Contratación anual.Precios para nuevas contrataciones. Contratación anual.Precios para nuevas contrataciones. Contratación anual.Precios para nuevas contrataciones. Contratación anual.