La cadena de suministro de software se ha convertido en una preocupación vital para las empresas que enfrentan un paisaje digital cada vez más complejo. Un reciente informe de JFrog destaca los crecientes desafíos que las organizaciones enfrentan al asegurar sus ecosistemas de software.
El "Estado de la Cadena de Suministro de Software 2024", publicado la semana pasada, indica que las cadenas de suministro de software de hoy son diversas y globales. Aproximadamente el 53% de las organizaciones utilizan entre cuatro y nueve lenguajes de programación, y un impresionante 31% confía en más de diez lenguajes.
Esta complejidad ha llevado a un aumento en los paquetes y bibliotecas de código abierto para el desarrollo de aplicaciones. Según el informe, "Docker y npm fueron los tipos de paquetes más contribuidos, con un crecimiento notable en las contribuciones de PyPI, probablemente debido a casos de uso de IA/ML". Sin embargo, esta abundancia de recursos trae consigo riesgos potenciales para las organizaciones.
En 2023, los investigadores de seguridad reportaron más de 26,000 nuevas Vulnerabilidades y Exposiciones Comunes (CVEs), continuando una tendencia de aumento en las vulnerabilidades. El informe señala que las vulnerabilidades más comunes este año fueron Cross-site Scripting, Inyección SQL y Escritura Fuera de Límites, con un aumento en el Cross-Site Request Forgery.
Puntuaciones CVSS Engañosas enmascaran el Riesgo Real
Shachar Menashe, Director Senior de Investigación en Seguridad de JFrog, resaltó la naturaleza engañosa de las puntuaciones del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS) respecto a la capacidad de explotación real. "Las puntuaciones CVSS no consideran vectores de ataque dependientes del contexto. En consecuencia, una vulnerabilidad explotable por defecto recibe la misma puntuación que una vulnerabilidad que solo es explotable en condiciones raras", explicó Menashe. El informe revela que un asombroso 74% de las CVEs de alta y crítica en las 100 imágenes principales de DockerHub no son explotables, lo que subraya la necesidad de una evaluación más profunda de los riesgos basada en el contexto y configuración específicos de cada organización.
Riesgos Ocultos en las Cadenas de Suministro de Software
El informe identifica el error humano y los secretos expuestos como vulnerabilidades significativas dentro de las cadenas de suministro de software. Menashe enfatizó las ventajas de escanear a nivel binario, afirmando, "Escanear y validar lo que se ejecutará en producción puede revelar exposiciones que solo aparecen una vez que el código ha sido compilado". Problemas como los secretos filtrados a menudo evaden la detección en el código fuente, pero emergen en la imagen final debido al pipeline de CI/CD.
Enfoques de Seguridad Fragmentados Agotan Recursos
A pesar de una creciente conciencia, las organizaciones a menudo enfrentan protocolos de seguridad fragmentados que desperdician tiempo y recursos. El informe reveló que el 60% de los profesionales pasan cuatro o más días al mes remediando vulnerabilidades en aplicaciones.
Menashe recomienda priorizar las vulnerabilidades mediante inversiones en soluciones de seguridad que contextualicen los resultados del escaneo, afirmando: “Meramente señalar CVEs no es suficiente. El escaneo contextual, ya sea estático o dinámico, es esencial. Ignorar el contexto lleva a aproximadamente un 75% de falsos positivos”.
El informe también aborda los desafíos que plantea la cantidad abrumadora de herramientas de seguridad. Menashe destacó que un exceso de soluciones puntuales puede crear brechas en la cobertura y provocar fatiga por alertas, obstaculizando los flujos de trabajo de desarrollo.
IA y Aprendizaje Automático Introducen Nuevos Riesgos
El ascenso de la inteligencia artificial (IA) y el aprendizaje automático (ML) en el desarrollo de software introduce sus propios riesgos. Si bien el 94% de las organizaciones revisa la seguridad de los modelos de aprendizaje automático de código abierto, casi el 20% se abstiene de utilizar IA/ML para la creación de código debido a preocupaciones de seguridad.
Menashe prevé que el uso de IA para codificación aumentará, pero advierte sobre los riesgos de seguridad asociados. “Si bien GenAI puede aumentar significativamente la productividad del desarrollador, es crucial que reconozcan que tales prácticas pueden amenazar la seguridad y la conformidad, ya que GenAI a menudo no produce código seguro”, advirtió.
También alerta a los CISOs sobre el potencial de que los atacantes exploten la tendencia de la IA a fabricar bibliotecas inexistentes, permitiendo la creación de paquetes maliciosos que los desarrolladores pueden utilizar inadvertidamente.
Recomendaciones Clave para Asegurar las Cadenas de Suministro de Software
A medida que las organizaciones navegan por el paisaje en evolución de la cadena de suministro de software, el informe de JFrog sirve como un recordatorio crítico para priorizar la seguridad y adoptar un enfoque integral de gestión de riesgos.
Menashe ofrece recomendaciones clave para los líderes de TI:
1. Restringir las descargas directas de paquetes de software de código abierto (OSS) de Internet, utilizando una solución de gestión de artefactos para revisar y asegurar artefactos antes de que lleguen al entorno del desarrollador.
2. Gestionar todas las entradas y salidas involucradas en los lanzamientos de software dentro de un sistema unificado que incorpore seguridad de aplicaciones de extremo a extremo para asegurar una aplicación consistente de políticas entre equipos.
3. Implementar medidas anti-manipulación como la firma de código para mantener la integridad de los lanzamientos, asegurando que solo los componentes seguros y previstos se incluyan a medida que el software madure.
Al adoptar escaneos contextuales, consolidar esfuerzos de seguridad y abordar proactivamente los riesgos asociados al código generado por IA, las empresas pueden fortalecer sus cadenas de suministro de software y protegerse contra amenazas ocultas. El informe de JFrog destaca la urgencia de enfoques vigilantes y comprensivos en la seguridad de la cadena de suministro de software, dado un entorno de ataque cada vez más amplio.
Clasificación
