Exploración de la validación continua de seguridad
En la actualidad, los desarrolladores no dudan en usar componentes disponibles en orígenes de paquetes públicos (como npm o NuGet).
Con una entrega más rápida y una mayor productividad, se fomenta el uso de componentes de software de código abierto (OSS) en muchas organizaciones.
Sin embargo, a medida que aumenta la dependencia de estos componentes del sistema operativo de terceros, el riesgo de vulnerabilidades de seguridad u requisitos de licencia ocultos también aumenta los problemas de cumplimiento.
Para una empresa, es fundamental, ya que los problemas relacionados con el cumplimiento, las responsabilidades y los datos personales de los clientes pueden causar muchos problemas de privacidad y seguridad.
La identificación de estos problemas al principio del ciclo de versión proporciona una advertencia avanzada y un tiempo suficiente para corregir los problemas. Notablemente, el costo de rectificar los problemas es menor cuanto antes se descubra el problema.
Muchas herramientas pueden buscar estas vulnerabilidades dentro de las canalizaciones de compilación y versión.
Una vez completada la combinación, la compilación de CI debe ejecutarse como parte del proceso de solicitud de incorporación de cambios (PR-CI).
Normalmente, la diferencia principal entre las dos ejecuciones es que el proceso de PR-CI no necesita ningún empaquetado o almacenamiento provisional en la compilación de CI.
Estas compilaciones de CI deben ejecutar pruebas de análisis de código estáticos para asegurarse de que el código sigue todas las reglas para el mantenimiento y la seguridad.
Se pueden usar varias herramientas para ello:
- SonarQube.
- Análisis de Visual Studio Code y analizadores de seguridad de Roslyn.
- Checkmarx: una herramienta de pruebas de seguridad de aplicaciones estáticas (SAST).
- BinSkim: una herramienta de análisis estático binario que proporciona resultados de seguridad y corrección para archivos ejecutables portátiles de Windows y muchos más.
Muchas de las herramientas se integran perfectamente en el proceso de compilación de Azure Pipelines. Visite Visual Studio Marketplace para obtener más información sobre las funcionalidades de integración de estas herramientas.
Además, para comprobar la calidad del código con la compilación de CI, otras dos validaciones tediosas o ignoradas examinan paquetes de terceros para detectar vulnerabilidades y el uso de licencias del sistema operativo.
La respuesta es miedo o incertidumbre cuando se pregunta sobre vulnerabilidades y licencias de paquetes de terceros.
Las organizaciones que intentan administrar vulnerabilidades de paquetes de terceros o licencias del sistema operativo explican que su proceso es tedioso y manual.
Afortunadamente, las herramientas de Mend Software pueden hacer que este proceso de identificación sea casi instantáneo.
En un módulo posterior, analizaremos la integración de varias herramientas de seguridad y cumplimiento útiles y usadas habitualmente.