El Estado de la Seguridad de JavaScript en 2024

Rate this content
Bookmark

Mientras React continúa dominando el panorama del desarrollo web, asegurar el vasto ecosistema de dependencias de código abierto nunca ha sido más crítico. En 2024, los desafíos en torno a React y la seguridad de JavaScript han evolucionado, y los riesgos asociados con los ataques a la cadena de suministro de software son más pronunciados que nunca.

En esta charla, exploraremos el estado actual de la seguridad de JavaScript, destacando recientes ataques a la cadena de suministro de alto perfil y su impacto en la comunidad de desarrollo. Discutiremos las últimas tendencias, herramientas y mejores prácticas para gestionar y asegurar tus dependencias de JavaScript.

Los temas clave incluirán:
•        Una visión general de los recientes ataques a la cadena de suministro y las lecciones aprendidas
•        Estrategias efectivas para mitigar riesgos de dependencias maliciosas
•        Cómo las herramientas y estándares modernos están mejorando el panorama de la seguridad
•        El papel de los desarrolladores y organizaciones en fomentar un ecosistema de código abierto seguro

Únete a Feross Aboukhadijeh, un experimentado mantenedor de código abierto y experto en seguridad, mientras comparte ideas y consejos prácticos sobre cómo navegar el complejo mundo de la seguridad de JavaScript en 2024. Esta sesión es esencial para desarrolladores, profesionales de seguridad y cualquier persona interesada en mantener una cadena de suministro de software segura y resiliente.

This talk has been presented at React Summit US 2024, check out the latest edition of this React Conference.

Feross Aboukhadijeh
Feross Aboukhadijeh
32 min
19 Nov, 2024

Comments

Sign in or register to post your comment.
Video Summary and Transcription
Soy Firas, un desarrollador experimentado de código abierto con un enfoque en la seguridad web. La seguridad de JavaScript es un desafío debido al concepto de dependency hell y la dependencia de dependencias de código abierto. Los componentes vulnerables y desactualizados representan un riesgo, y ejemplos recientes destacan los peligros en NPM. Los paquetes maliciosos pueden permanecer sin ser detectados durante mucho tiempo, y las herramientas actuales para la seguridad de JavaScript son inadecuadas. El orador comenzó Socket como una empresa después de un interesante ataque a NPM en 2017. Se discuten los peligros de instalar código no verificado y se explora el impacto de la IA en la seguridad. Socket tiene como objetivo abordar el problema del ruido en las alertas de seguridad al enfocarse en las vulnerabilidades más severas.

1. Introduction

Short description:

Soy Firas, un desarrollador experimentado de código abierto con un enfoque en la seguridad web. He escrito numerosos paquetes npm, incluidos Web torrent y standard JS. Ahora, estoy combinando mi experiencia en código abierto y seguridad con Socket, una herramienta que ayuda a proteger tu código verificando vulnerabilidades y dependencias maliciosas. Tenemos una amplia gama de organizaciones y repositorios que utilizan Socket, y estamos orgullosos del impacto positivo que hemos logrado.

Soy Firas, he estado trabajando en código abierto durante unos 10 años, he escrito alrededor de cien paquetes npm diferentes, tal vez algunos de los cuales hayas oído hablar. Web torrent y standard JS, hice algo de trabajo en algunos polyfills que se usaron en Browserify y Webpack y algunos otros empaquetadores también. Luego me moví hacia la seguridad, me interesé mucho en la seguridad web, enseñé un curso en Stanford, y ahora estoy tomando mi interés en código abierto y seguridad e intentando unir los dos con Socket. Así que haré solo unos rápidos 10-20 segundos sobre Socket. Así que ayudamos a proteger tu código, si necesitas obtener una herramienta para verificar vulnerabilidades y dependencias maliciosas, echa un vistazo a Socket, podríamos ayudarte. Tenemos un montón de organizaciones que nos usan, un montón de repos que estamos protegiendo, y luego algunos de nuestros clientes aquí. Así que estoy realmente feliz con cómo hemos podido ayudar a mucha gente con nuestro producto.

2. JavaScript Security Challenges

Short description:

La seguridad en JavaScript es una tarea desafiante debido a la naturaleza compleja e interconectada de las aplicaciones web modernas. Los navegadores web deben permitir que los sitios web descarguen y ejecuten código mientras garantizan la seguridad del usuario. A pesar de su reputación, la web ha desarrollado medidas de seguridad robustas a lo largo de los años. Como desarrolladores, es crucial entender estas complejidades para construir sitios web y aplicaciones seguras. Esta charla tiene como objetivo aumentar la conciencia y resaltar consideraciones importantes para la seguridad de JavaScript en 2024.

Así que hablemos de la seguridad en JavaScript. Entonces, ¿por qué es difícil la seguridad en JavaScript? Creo que la cita que ilustra esto es de Michael Zalewski, quien es el autor de The Tangled Web, que es uno de los primeros libros de seguridad web que leí alguna vez. Y él dice, las aplicaciones web modernas están construidas sobre un enredo de tecnologías que han sido desarrolladas con el tiempo y ensambladas de manera desordenada. Así que cada pieza de la pila de aplicaciones web, desde HTTP hasta los scripts del lado del navegador, viene con consecuencias de seguridad importantes pero sutiles. Y para mantener a los usuarios seguros, realmente tenemos que entender y navegar este panorama. Y si piensas en el trabajo del navegador web, en realidad es una tarea aparentemente imposible. Los sitios, incluso los sitios web maliciosos que visitas, pueden descargar y ejecutar código desde cualquier dirección IP o origen. Pueden generar procesos de trabajo en tu sistema operativo. Pueden abrir sockets, mostrar medios en cualquier cantidad de formatos diferentes, ejecutar código en tu GPU, por el amor de Dios, y guardar y leer datos de tu sistema de archivos. Ahora, ¿dejarías que un sitio web malicioso hiciera esto en tu computadora? Bueno, eso es lo que un navegador web tiene que hacer. Tiene que permitir que eso suceda de manera segura. Así que es realmente asombroso lo robusta que es la web a pesar de la reputación que a veces tiene, especialmente de los detractores. Y así, puede que no tenga un diseño limpio, pero realmente ha evolucionado muchas medidas de seguridad para hacerla realmente robusta a lo largo de los años. Y así, ya sabes, es muy fácil criticar, lamentar y crear escenarios paranoicos sobre los fundamentos de seguridad poco sólidos de la web. Pero la verdad es que toda esa crítica es cierta, y sin embargo, la web ha demostrado ser increíblemente robusta como plataforma. La cuestión es que, como desarrolladores, realmente tenemos que entender todas esas complejidades a menudo para construir sitios web seguros y aplicaciones seguras. Y eso es parte de lo que, ya sabes, el propósito de esta charla es, es solo para aumentar la conciencia. No tengo mucho tiempo. Pero solo para destacar algunas cosas que han cambiado en 2024 y algunas cosas a tener en cuenta para ti.

QnA

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Node Congress 2022Node Congress 2022
26 min
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Top Content
The talk discusses the importance of supply chain security in the open source ecosystem, highlighting the risks of relying on open source code without proper code review. It explores the trend of supply chain attacks and the need for a new approach to detect and block malicious dependencies. The talk also introduces Socket, a tool that assesses the security of packages and provides automation and analysis to protect against malware and supply chain attacks. It emphasizes the need to prioritize security in software development and offers insights into potential solutions such as realms and Deno's command line flags.
El estado de la autenticación sin contraseña en la web
JSNation 2023JSNation 2023
30 min
El estado de la autenticación sin contraseña en la web
Passwords are terrible and easily hacked, with most people not using password managers. The credential management API and autocomplete attribute can improve user experience and security. Two-factor authentication enhances security but regresses user experience. Passkeys offer a seamless and secure login experience, but browser support may be limited. Recommendations include detecting Passkey support and offering fallbacks to passwords and two-factor authentication.
5 Formas en las que Podrías Haber Hackeado Node.js
JSNation 2023JSNation 2023
22 min
5 Formas en las que Podrías Haber Hackeado Node.js
Top Content
The Node.js security team is responsible for addressing vulnerabilities and receives reports through HackerOne. The Talk discusses various hacking techniques, including DLL injections and DNS rebinding attacks. It also highlights Node.js security vulnerabilities such as HTTP request smuggling and certification validation. The importance of using HTTP proxy tunneling and the experimental permission model in Node.js 20 is emphasized. NearForm, a company specializing in Node.js, offers services for scaling and improving security.
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
React Summit US 2023React Summit US 2023
9 min
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
Top Content
Lucas Estevão, a Principal UI Engineer and Technical Manager at Avenue Code, discusses how to implement Content Security Policy (CSP) with Next.js to enhance website security. He explains that CSP is a security layer that protects against cross-site scripting and data injection attacks by restricting browser functionality. The talk covers adding CSP to an XJS application using meta tags or headers, and demonstrates the use of the 'nonce' attribute for allowing inline scripts securely. Estevão also highlights the importance of using content security reports to identify and improve application security.
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
React Advanced 2021React Advanced 2021
22 min
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
Top Content
React's default security against XSS vulnerabilities, exploring and fixing XSS vulnerabilities in React, exploring control characters and security issues, exploring an alternative solution for JSON parsing, and exploring JSON input and third-party dependencies.
Cómo se hackean las aplicaciones React en el mundo real
React Summit 2022React Summit 2022
7 min
Cómo se hackean las aplicaciones React en el mundo real
Top Content
How to hack a RealWorld live React application in seven minutes. Tips, best practices, and pitfalls when writing React code. XSS and cross-site scripting in React. React's secure by default, but not always. The first thing to discover: adding a link to a React application. React code vulnerability: cross-site scripting with Twitter link. React doesn't sanitize or output H ref attributes. Fix attempts: detect JavaScript, use dummy hashtag, transition to lowercase. Control corrector exploit. Best practices: avoid denialist approach, sanitize user inputs. React's lack of sanitization and output encoding for user inputs. Exploring XSS vulnerabilities and the need to pretty print JSON. The React JSON pretty package and its potential XSS risks. The importance of context encoding and secure coding practices.

Workshops on related topic

Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
JSNation US 2024JSNation US 2024
148 min
Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
Featured Workshop
Gregor Biswanger
Gregor Biswanger
En esta masterclass práctica, estarás equipado con las herramientas para probar efectivamente la seguridad de las aplicaciones web. Este curso está diseñado tanto para principiantes como para aquellos que ya están familiarizados con las pruebas de seguridad de aplicaciones web y desean ampliar su conocimiento. En un mundo donde los sitios web juegan un papel cada vez más central, asegurar la seguridad de estas tecnologías es crucial. Comprender la perspectiva del atacante y conocer los mecanismos de defensa apropiados se han convertido en habilidades esenciales para los profesionales de TI.Esta masterclass, dirigida por el renombrado entrenador Gregor Biswanger, te guiará a través del uso de herramientas de pentesting estándar de la industria como Burp Suite, OWASP ZAP y el marco profesional de pentesting Metasploit. Aprenderás a identificar y explotar vulnerabilidades comunes en aplicaciones web. A través de ejercicios prácticos y desafíos, podrás poner en práctica tu conocimiento teórico y expandirlo. En este curso, adquirirás las habilidades fundamentales necesarias para proteger tus sitios web de ataques y mejorar la seguridad de tus sistemas.
De 0 a Autenticación en una hora con ReactJS
React Summit 2023React Summit 2023
56 min
De 0 a Autenticación en una hora con ReactJS
WorkshopFree
Kevin Gao
Kevin Gao
La autenticación sin contraseña puede parecer compleja, pero es simple de agregar a cualquier aplicación utilizando la herramienta adecuada. Hay múltiples alternativas que son mucho mejores que las contraseñas para identificar y autenticar a tus usuarios, incluyendo SSO, SAML, OAuth, Magic Links, One-Time Passwords y Authenticator Apps.
Mientras abordamos los aspectos de seguridad y evitamos errores comunes, mejoraremos una aplicación JS de pila completa (backend Node.js + frontend React) para autenticar a los usuarios con OAuth (inicio de sesión social) y One Time Passwords (correo electrónico), incluyendo:- Autenticación de usuarios - Gestión de interacciones de usuarios, devolviendo JWTs de sesión / actualización- Gestión y validación de sesiones - Almacenamiento seguro de la sesión para solicitudes de cliente posteriores, validación / actualización de sesiones- Autorización básica - extracción y validación de reclamaciones del token JWT de sesión y manejo de autorización en flujos del backend
Al final del masterclass, también exploraremos otros enfoques de implementación de autenticación con Descope, utilizando SDKs de frontend o backend.
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
JSNation 2024JSNation 2024
97 min
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
Workshop
Marco Ippolito
Marco Ippolito
En este masterclass, cubriremos las diez vulnerabilidades más comunes y riesgos de seguridad críticos identificados por OWASP, que es una autoridad confiable en Seguridad de Aplicaciones Web.Durante el masterclass, aprenderás cómo prevenir estas vulnerabilidades y desarrollar la capacidad de reconocerlas en aplicaciones web.El masterclass incluye 10 desafíos de código que representan cada una de las vulnerabilidades más comunes de OWASP. Se proporcionarán pistas para ayudar a resolver las vulnerabilidades y pasar las pruebas.El instructor también proporcionará explicaciones detalladas, diapositivas y ejemplos de la vida real en Node.js para ayudar a comprender mejor los problemas. Además, obtendrás información de un Mantenedor de Node.js que compartirá cómo gestionan la seguridad en un proyecto grande.Es adecuado para desarrolladores de Node.js de todos los niveles de habilidad, desde principiantes hasta expertos, se requiere un conocimiento general de aplicaciones web y JavaScript.
Tabla de contenidos:- Control de Acceso Roto- Fallas Criptográficas- Inyección- Diseño Inseguro- Configuración de Seguridad Incorrecta- Componentes Vulnerables y Obsoletos- Fallas de Identificación y Autenticación- Fallas de Integridad de Software y Datos- Fallas de Registro y Monitoreo de Seguridad- Falsificación de Solicitudes del Lado del Servidor
Cómo Construir Control de Acceso Front-End con NFTs
JSNation 2024JSNation 2024
88 min
Cómo Construir Control de Acceso Front-End con NFTs
WorkshopFree
Solange Gueiros
Solange Gueiros
Comprende los fundamentos de la tecnología NFT y su aplicación en el fortalecimiento de la seguridad web. A través de demostraciones prácticas y ejercicios prácticos, los asistentes aprenderán cómo integrar sin problemas mecanismos de control de acceso basados en NFT en sus proyectos de desarrollo front-end.
Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk
JSNation 2022JSNation 2022
99 min
Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk
WorkshopFree
Matthew Salmon
Matthew Salmon
npm y seguridad, ¿cuánto sabes sobre tus dependencias?Hack-along, hacking en vivo de una aplicación Node vulnerable https://github.com/snyk-labs/nodejs-goof, Vulnerabilidades tanto de código abierto como de código escrito. Se anima a descargar la aplicación y hackear junto con nosotros.Corrigiendo los problemas y una introducción a Snyk con una demostración.Preguntas abiertas.
Aporta Calidad y Seguridad al pipeline de CI/CD
DevOps.js Conf 2022DevOps.js Conf 2022
76 min
Aporta Calidad y Seguridad al pipeline de CI/CD
WorkshopFree
Elena Vilchik
Elena Vilchik
En esta masterclass repasaremos todos los aspectos y etapas al integrar tu proyecto en el ecosistema de Calidad y Seguridad del Código. Tomaremos una aplicación web simple como punto de partida y crearemos un pipeline de CI que active el monitoreo de calidad del código. Realizaremos un ciclo completo de desarrollo, comenzando desde la codificación en el IDE y abriendo una Pull Request, y te mostraré cómo puedes controlar la calidad en esas etapas. Al final de la masterclass, estarás listo para habilitar esta integración en tus propios proyectos.