El software de código abierto Google Assured (OSS asegurado), un nuevo servicio que protege los repositorios de código abierto de los ataques a la cadena de suministro, ahora está disponible para todos.
Un año después de anunciar inicialmente el servicio, Google lo lanzó a disponibilidad general a principios de esta semana y, en medio de especulaciones sobre su precio, tomó la sorprendente decisión de ofrecerlo de forma gratuita. Aquellos interesados en probar Assured OSS solo necesitan registrar una nueva cuenta.
Hoy en día, el desarrollo de software se basa en gran medida en el código fuente abierto. Desarrolladores de todo el mundo crean fragmentos de código que luego se comparten con la comunidad de desarrollo más amplia a través de repositorios como GitHub, PyPI y otros. Eso permite a otros desarrolladores tomar ese código e implementarlo en sus soluciones sin necesidad de dedicar demasiadas horas a crear elementos desde cero.
Abusar de las buenas intenciones
Sin embargo, esto también presenta una oportunidad única para los actores de amenazas. Si ingresan a las cuentas de los desarrolladores, pueden modificar los paquetes existentes con código malicioso. Si ese código malicioso termina integrándose en múltiples soluciones, abre numerosas puertas para que los piratas informáticos roben datos confidenciales, implementen malware de etapa dos y más.
Incluso si no ingresan a las cuentas, los piratas informáticos a menudo cometen errores tipográficos, creando paquetes que parecen casi idénticos a los legítimos. De esa manera, los desarrolladores con exceso de trabajo, o los que tienen poco tiempo, pueden descargar por error el paquete equivocado y, por lo tanto, comprometer sus productos.
Conocido como un “ataque a la cadena de suministro”, esto se ha convertido en un vector bastante común de ciberdelincuencia en los últimos años. El año pasado, por ejemplo, Sonatype (se abre en una pestaña nueva) informó que entre 2019 y 2022 hubo más de 95 000 nuevos paquetes maliciosos, con 55 000 solo en 2021. Esto representó un aumento del 700 % en los ataques al repositorio durante esos tres años.
“Casi todas las empresas modernas se basan en el código abierto. Claramente, el uso de repositorios de código abierto como punto de entrada para ataques maliciosos no muestra signos de desaceleración, lo que hace que la detección temprana de vulnerabilidades de seguridad conocidas y desconocidas sea más importante que nunca”, dijo Brian Fox, cofundador y CTO de Sonatype. .
Agregó que «detener los componentes maliciosos antes de que entren por la puerta es un elemento fundamental de la prevención de riesgos y debe ser parte de cada conversación sobre la protección de las cadenas de suministro de software».
Ahora, Google dice que mantendrá las bibliotecas actualizadas y escaneadas constantemente en busca de fallas conocidas. También ejecutará pruebas de fuzz para buscar nuevas vulnerabilidades y participar en el desarrollo de soluciones.
Vía: TechCrunch (se abre en una pestaña nueva)