Red Seguridad 107

red seguridad cuarto trimestre 2024 51 opinión seguridad antes de que ocurra. Por eso, es necesario efectuar este análisis de seguridad de las librerías o códigos de terceros en fases previas del ciclo de desarrollo, como en tiempo de diseño e implementación sobre este tipo de dependencias. Nuevos ‘chefs’ Los fabricantes de soluciones de segu- ridad de aplicaciones están poniendo mucho esfuerzo en ello. Por ejemplo, Sonatype, con su repository firewall , permite analizar y vetar la descarga de librerías inseguras o maliciosas antes de que lleguen a los repositorios internos de los entornos de desarrollo. OpenText, con su solución Debricked, permite ana- lizar los paquetes basándose en su nivel de seguridad, popularidad y número de contribuidores en los proyectos. Además, ofrece facilidades como su extensión para navegadores web que permite ha- cer consultas de forma fácil y rápida, así como la capacidad de personalizar las reglas de análisis para alinearse con la política de admisión de componentes de software de terceros y de licencias de la compañía o equipo de desarrollo. A su vez, Xygeni destaca por su enfo- que proactivo, monitorizando continua- mente no solo el software desarrollado sino también las herramientas que se utilizan para ello, garantizando así un entorno de desarrollo integralmente se- guro. Este sistema utiliza un algoritmo de embudo diseñado para priorizar las actividades de arreglo o mitigación de vulnerabilidades, y realiza un escaneo de las dependencias para detectar y neutralizar malware antes de que afecte el proyecto. No podemos olvidar las soluciones SCA ( Software Composition Analysis ) y SCS ( Supply Chain Security ) como las de Checkmarx y Black Duck (antes Sy- nopsys). Estas herramientas, ahora más maduras, permiten integrarse en los pipelines de CI/CD para el análisis de seguridad de dependencias y secrets * tanto en código como en documen- tación. De hecho, la mayoría de estas soluciones permite la generación de un SBOM ( Software Billing of Materials ) para inventariar dependencias. Finalmente, también es importante mencionar programas como Security Champions, que capacitan a los de- sarrolladores para ser valedores de la seguridad en sus equipos, ayudando a construir una cultura de seguridad y mejorando la responsabilidad y cono- cimiento sobre la seguridad en toda la organización. Seguridad en el desarrollo Es evidente que aún queda un largo reco- rrido hasta llegar a un estado de ‘ security starting from the left ’ y necesitamos me- jorar la colaboración entre los equipos de desarrollo y de SSDLC (seguridad en el ciclo de vida del desarrollo) para evitar incidentes derivados del uso de compo- nentes de terceros no seguros. Ejem- plos recientes incluyen el ciberataque a SiSense en abril de 2024, donde los atacantes accedieron a credenciales de Amazon S3 compartidas con sus clientes La habilidad de los desarrolladores radica en saber elegir y mezlcar los componentes para que sean aplicaciones seguras y confiables