Nueva forma de concebir la seguridad en las dependencias

Rate this content
Bookmark

Las vulnerabilidades en el ecosistema de código abierto están aumentando como un incendio descontrolado. Es importante abordarlas. Hablaré sobre los problemas y cómo solucionarlos con una demostración. También tomaré ejemplos del ecosistema de React.

This talk has been presented at React Summit 2022, check out the latest edition of this React Conference.

FAQ

Vandana Verma Sahgal es líder de relaciones de seguridad en Snyk, presidenta de OWASP y líder de proyectos como InfoSec Girls, InfoSec Diversity and Kids. Se dedica a la seguridad de software y contribuye a proyectos de código abierto en ciberseguridad.

OWASP, o el Proyecto de Aplicaciones Web de Seguridad Abierta, es una comunidad que motiva a las personas a comprender la seguridad de las aplicaciones. Su objetivo es mejorar la seguridad del software a través de la educación y la colaboración en proyectos de código abierto.

Los problemas de cadena de suministro en seguridad informática se refieren a las vulnerabilidades que pueden surgir cuando se utilizan dependencias de terceros, como bibliotecas o frameworks, en el desarrollo de software. Estos pueden ser explotados para comprometer la seguridad de una aplicación.

Vandana mencionó un incidente en enero de 2021 donde alguien intentó atacar Visual Studio Code y logró acceder a cuentas de GitHub. Este evento destaca la importancia de la vigilancia en la seguridad de las herramientas de desarrollo.

La violación de datos de Equifax subraya la importancia de responder rápidamente a las vulnerabilidades conocidas, como actualizar las versiones de software para evitar explotaciones, y la necesidad de tener un conocimiento completo de las tecnologías y componentes utilizados en las organizaciones.

Lock4Shell es una vulnerabilidad en una popular plataforma de registro basada en Apache escrita en Java. Esta vulnerabilidad afectó a muchas organizaciones y subraya la necesidad de evaluar y asegurar los componentes de terceros utilizados en los entornos de software.

Vandana utiliza contenido de código abierto y enfatiza la importancia de monitorear y gestionar las dependencias para asegurarse de que no contengan vulnerabilidades o código malicioso, especialmente en el contexto del ecosistema de Node.js.

Vandana recomienda el uso de herramientas como OWASP Dependency Check para escanear y identificar vulnerabilidades en el código. Además, aconseja mantener una comunicación activa y colaborativa entre desarrolladores y mantenedores para gestionar y resolver problemas eficazmente.

Vandana Verma Sehgal
Vandana Verma Sehgal
21 min
21 Jun, 2022

Comments

Sign in or register to post your comment.
Video Summary and Transcription
La charla de hoy explora la importancia de comprender los problemas de seguridad y las dependencias en el desarrollo de software. Se enfatiza el papel de los desarrolladores en los incidentes de ciberseguridad y la necesidad de detectar y responder a las vulnerabilidades de manera temprana. La charla también analiza los riesgos asociados con las dependencias de terceros y el impacto de las violaciones de seguridad en las organizaciones. Además, se destaca la importancia de abordar las preocupaciones de seguridad y las posibles consecuencias de explotar vulnerabilidades y exfiltrar datos.

1. Introducción a los problemas de seguridad y dependencias

Short description:

Hoy voy a hablar sobre una nueva forma de concebir los problemas de seguridad y dependencias. Compartiré mi experiencia y comprensión sobre esos problemas. Actualmente soy líder de relaciones de seguridad en Snyk, contribuyendo a proyectos de código abierto en ciberseguridad. Queremos que todo sea automatizado, genial y útil. Pero, ¿qué sucede cuando los datos se están cargando en algún lugar? Estos dispositivos inteligentes se están entrenando para entregar contenido lo más rápido posible, pero también pueden estar rastreando todo lo que dices.

Hola a todos, buenos días, buenas tardes, buenas noches, dondequiera que estén. Hoy voy a hablar sobre una nueva forma de concebir los problemas de security|seguridad y dependencias. Estoy seguro de que algunos de ustedes lo conocen, otros no lo conocen. Así que hoy compartiré mi experiencia y comprensión sobre esos problemas.

Mi nombre es Vandana Verma Sahgal, y en cuanto a mí, en cuanto a mi experiencia, actualmente soy líder de relaciones de security|seguridad en Snyk, que es una empresa de security|seguridad de software. Cuando no estoy trabajando en Snyk, generalmente contribuyo a proyectos de código abierto en ciber security|seguridad y formo parte de ciertas conferencias como BlackHat. Actualmente soy la presidenta de OWASP, que es el Proyecto de Aplicaciones Web de Security|Seguridad Abierta, una comunidad impulsada para motivar a las personas a comprender la security|seguridad de las aplicaciones. También dirijo InfoSec Girls, InfoSec Diversity and Kids, para que todos puedan comprender la ciberseguridad. Eso es sobre mí.

Ahora, mientras hablo sobre qué son los problemas de security|seguridad, ¿qué ves exactamente en esta imagen? Esto es algo más bien una imagen futurista de lo que realmente queremos. Queremos que todo sea automatizado. Queremos que todo sea súper genial. Queremos que todo sea diferente y útil para nosotros. Yo lo quiero. Quiero que las smart TVs, los dispositivos inteligentes, los usuarios inteligentes, todo sea inteligente en casa. Así que solo necesito presionar un botón y todo está bien. Pero hay una cosa que está ahí. ¿Qué sucede cuando los data|datos se están cargando en algún lugar? Y eso es natural. Hemos escuchado e incluso hemos visto que los data|datos se están cargando en algún lugar. ¿Por qué decimos eso? Porque el punto es que todo lo que le hablas a estos dispositivos inteligentes realmente se entrena. Porque quieres que todo sea lo más rápido posible. Se están entrenando para entregar el contenido lo más rápido posible. Entonces, los data|datos se están almacenando en algún lugar. Ahora, estoy seguro de que estos dispositivos se están actualizando en algún lugar. Entonces, habrá un parche que se descargará. Ahora, cuando se descarga ese parche, a veces puedes sentir que algo sospechoso está sucediendo. O a veces ni siquiera te das cuenta de que hay cosas maliciosas que se descargan en tu sistema. Entonces, ¿qué haces y qué sucede entonces? Es posible que te estén rastreando. Todo lo que dices podría estar siendo rastreado. ¿Es genial? No, no lo es.

2. Problemas de seguridad y dependencias

Short description:

Es algo aterrador. Pero surge la pregunta de cómo debemos lidiar realmente con ellos. Los desarrolladores desempeñan un papel muy, muy crucial en los incidentes de ciberseguridad. Ahora, este incidente de flujo de eventos, que no parece ser nuevo, pero se remonta a muchos, muchos años. Todos mis sitios web están en contenido de código abierto. ¿Hay algún problema en esas dependencias? ¿Qué sucede cuando las personas comienzan a atacar las herramientas de desarrollo? En enero de 2021, alguien intentó atacar Visual Studio Code y logró acceder a GitHub. Cuando se informa de una cierta vulnerabilidad, lo que realmente necesitamos hacer es comprender de qué se trata la vulnerabilidad. ¿Qué sucedió con Equifax? El 14 de febrero, Apache notificó que había ciertos problemas.

Es algo aterrador. Pero surge la pregunta de cómo debemos lidiar realmente con ellos. Entonces, los desarrolladores desempeñan un papel muy, muy crucial en los incidentes de ciberseguridad. Y especialmente cuando hablamos de estos nuevos problemas de cadena de suministro que existen, todo el panorama que está cambiando, y la forma en que hemos comenzado a preocuparnos por la seguridad del software.

Ahora, este incidente de flujo de eventos, que no parece ser nuevo, pero se remonta a muchos, muchos años. Cuando alguien dijo que quería ayudarte y contratar a los mantenedores, pero en cambio agregaron un minero de criptomonedas y nadie siquiera lo sabía. Así que estás trabajando y algo se está ejecutando en segundo plano. Entonces, ¿cuánto sabes exactamente sobre lo que hay en tu sistema?

Ahora, te contaré sobre mí. Todos mis sitios web están en contenido de código abierto. Estoy usando lo que está disponible en Internet. Ahora bien, ¿existen problemas en esas dependencias? Tal vez, esta es la imagen que tengo en mente. Esto es toda mi aplicación. Pero, lo real es que este es el único código, el punto rojo en el medio, que es el código, que es desarrollado por mí o tal vez mis amigos, tal vez la propia empresa. Pero, ¿qué hay del resto? Todo el resto es código de código abierto, dependencias de terceros, bibliotecas de terceros y demás. ¿Cómo te vas a encargar de eso exactamente? ¿Qué sucede cuando las personas comienzan a atacar las herramientas de desarrollo?

Ahora bien, estando en seguridad, es posible que no use Visual Studio Code o cualquier IDE con frecuencia. Pero, ¿puede suceder? Si soy un desarrollador, no lo usaría todos los días. Lo usaría, y en ese sentido, estando en seguridad, quiero aprender muchas cosas nuevas, así que aprendo estas cosas. Eso es lo que sucedió. En enero de 2021, alguien intentó atacar Visual Studio Code y logró acceder a GitHub. De muchas cuentas, pero informaron diligentemente eso. Podría haber tomado un rumbo equivocado. Cuando alguien obtiene la llave de la casa, puede hacer cualquier cosa. Por ejemplo, tienes cuatro puertas en la casa, luego hay cuatro ventanas. Ahora, te vas de vacaciones, has cerrado todas las puertas, pero ¿qué sucedió con las ventanas? Tal vez haya una ventana abierta, que no te diste cuenta y alguien entra a tu casa y se lleva todas las cosas. Es una locura, y eso le puede suceder a cualquiera, y es entonces cuando necesitamos comprender qué hay dentro de nuestro código.

Ahora, hay ciertas lecciones que aprendimos de la violación de Equifax que ocurrió hace unos años. Ahora, ¿por qué seguimos hablando de eso, porque realmente vislumbra un aspecto muy importante, que cuando se informa de una cierta vulnerabilidad, después de eso, lo que realmente necesitamos hacer es comprender de qué se trata la vulnerabilidad. ¿Podemos solucionarlo o no? Y si es crítico, ¿cuánto tiempo tardaremos en abordarlo? ¿Qué sucedió con Equifax? El 14 de febrero, Apache notificó que había ciertos problemas. Hubo una versión de corrección, las personas comenzaron a explotar la vulnerabilidad. Y aunque algunas empresas ya lo actualizaron, hay algunas empresas que no pudieron hacerlo. Una de ellas fue Equifax.

Check out more articles and videos

We constantly think of articles and videos that might spark Git people interest / skill us up or help building a stellar career

Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Node Congress 2022Node Congress 2022
26 min
Es una jungla ahí fuera: ¿Qué está pasando realmente dentro de tu carpeta Node_Modules?
Top Content
The talk discusses the importance of supply chain security in the open source ecosystem, highlighting the risks of relying on open source code without proper code review. It explores the trend of supply chain attacks and the need for a new approach to detect and block malicious dependencies. The talk also introduces Socket, a tool that assesses the security of packages and provides automation and analysis to protect against malware and supply chain attacks. It emphasizes the need to prioritize security in software development and offers insights into potential solutions such as realms and Deno's command line flags.
El estado de la autenticación sin contraseña en la web
JSNation 2023JSNation 2023
30 min
El estado de la autenticación sin contraseña en la web
Passwords are terrible and easily hacked, with most people not using password managers. The credential management API and autocomplete attribute can improve user experience and security. Two-factor authentication enhances security but regresses user experience. Passkeys offer a seamless and secure login experience, but browser support may be limited. Recommendations include detecting Passkey support and offering fallbacks to passwords and two-factor authentication.
5 Formas en las que Podrías Haber Hackeado Node.js
JSNation 2023JSNation 2023
22 min
5 Formas en las que Podrías Haber Hackeado Node.js
Top Content
The Node.js security team is responsible for addressing vulnerabilities and receives reports through HackerOne. The Talk discusses various hacking techniques, including DLL injections and DNS rebinding attacks. It also highlights Node.js security vulnerabilities such as HTTP request smuggling and certification validation. The importance of using HTTP proxy tunneling and the experimental permission model in Node.js 20 is emphasized. NearForm, a company specializing in Node.js, offers services for scaling and improving security.
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
React Summit US 2023React Summit US 2023
9 min
Política de Seguridad de Contenido con Next.js: Mejorando la Seguridad de tu Sitio Web
Top Content
Lucas Estevão, a Principal UI Engineer and Technical Manager at Avenue Code, discusses how to implement Content Security Policy (CSP) with Next.js to enhance website security. He explains that CSP is a security layer that protects against cross-site scripting and data injection attacks by restricting browser functionality. The talk covers adding CSP to an XJS application using meta tags or headers, and demonstrates the use of the 'nonce' attribute for allowing inline scripts securely. Estevão also highlights the importance of using content security reports to identify and improve application security.
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
React Advanced 2021React Advanced 2021
22 min
Permíteme mostrarte cómo las aplicaciones de React son hackeadas en el mundo real
Top Content
React's default security against XSS vulnerabilities, exploring and fixing XSS vulnerabilities in React, exploring control characters and security issues, exploring an alternative solution for JSON parsing, and exploring JSON input and third-party dependencies.
Cómo se hackean las aplicaciones React en el mundo real
React Summit 2022React Summit 2022
7 min
Cómo se hackean las aplicaciones React en el mundo real
Top Content
How to hack a RealWorld live React application in seven minutes. Tips, best practices, and pitfalls when writing React code. XSS and cross-site scripting in React. React's secure by default, but not always. The first thing to discover: adding a link to a React application. React code vulnerability: cross-site scripting with Twitter link. React doesn't sanitize or output H ref attributes. Fix attempts: detect JavaScript, use dummy hashtag, transition to lowercase. Control corrector exploit. Best practices: avoid denialist approach, sanitize user inputs. React's lack of sanitization and output encoding for user inputs. Exploring XSS vulnerabilities and the need to pretty print JSON. The React JSON pretty package and its potential XSS risks. The importance of context encoding and secure coding practices.

Workshops on related topic

Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
JSNation US 2024JSNation US 2024
148 min
Masterclass Práctica: Introducción a Pentesting para Aplicaciones Web / APIs Web
Featured Workshop
Gregor Biswanger
Gregor Biswanger
En esta masterclass práctica, estarás equipado con las herramientas para probar efectivamente la seguridad de las aplicaciones web. Este curso está diseñado tanto para principiantes como para aquellos que ya están familiarizados con las pruebas de seguridad de aplicaciones web y desean ampliar su conocimiento. En un mundo donde los sitios web juegan un papel cada vez más central, asegurar la seguridad de estas tecnologías es crucial. Comprender la perspectiva del atacante y conocer los mecanismos de defensa apropiados se han convertido en habilidades esenciales para los profesionales de TI.Esta masterclass, dirigida por el renombrado entrenador Gregor Biswanger, te guiará a través del uso de herramientas de pentesting estándar de la industria como Burp Suite, OWASP ZAP y el marco profesional de pentesting Metasploit. Aprenderás a identificar y explotar vulnerabilidades comunes en aplicaciones web. A través de ejercicios prácticos y desafíos, podrás poner en práctica tu conocimiento teórico y expandirlo. En este curso, adquirirás las habilidades fundamentales necesarias para proteger tus sitios web de ataques y mejorar la seguridad de tus sistemas.
De 0 a Autenticación en una hora con ReactJS
React Summit 2023React Summit 2023
56 min
De 0 a Autenticación en una hora con ReactJS
WorkshopFree
Kevin Gao
Kevin Gao
La autenticación sin contraseña puede parecer compleja, pero es simple de agregar a cualquier aplicación utilizando la herramienta adecuada. Hay múltiples alternativas que son mucho mejores que las contraseñas para identificar y autenticar a tus usuarios, incluyendo SSO, SAML, OAuth, Magic Links, One-Time Passwords y Authenticator Apps.
Mientras abordamos los aspectos de seguridad y evitamos errores comunes, mejoraremos una aplicación JS de pila completa (backend Node.js + frontend React) para autenticar a los usuarios con OAuth (inicio de sesión social) y One Time Passwords (correo electrónico), incluyendo:- Autenticación de usuarios - Gestión de interacciones de usuarios, devolviendo JWTs de sesión / actualización- Gestión y validación de sesiones - Almacenamiento seguro de la sesión para solicitudes de cliente posteriores, validación / actualización de sesiones- Autorización básica - extracción y validación de reclamaciones del token JWT de sesión y manejo de autorización en flujos del backend
Al final del masterclass, también exploraremos otros enfoques de implementación de autenticación con Descope, utilizando SDKs de frontend o backend.
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
JSNation 2024JSNation 2024
97 min
Principales Diez Vulnerabilidades de Seguridad OWASP en Node.js
Workshop
Marco Ippolito
Marco Ippolito
En este masterclass, cubriremos las diez vulnerabilidades más comunes y riesgos de seguridad críticos identificados por OWASP, que es una autoridad confiable en Seguridad de Aplicaciones Web.Durante el masterclass, aprenderás cómo prevenir estas vulnerabilidades y desarrollar la capacidad de reconocerlas en aplicaciones web.El masterclass incluye 10 desafíos de código que representan cada una de las vulnerabilidades más comunes de OWASP. Se proporcionarán pistas para ayudar a resolver las vulnerabilidades y pasar las pruebas.El instructor también proporcionará explicaciones detalladas, diapositivas y ejemplos de la vida real en Node.js para ayudar a comprender mejor los problemas. Además, obtendrás información de un Mantenedor de Node.js que compartirá cómo gestionan la seguridad en un proyecto grande.Es adecuado para desarrolladores de Node.js de todos los niveles de habilidad, desde principiantes hasta expertos, se requiere un conocimiento general de aplicaciones web y JavaScript.
Tabla de contenidos:- Control de Acceso Roto- Fallas Criptográficas- Inyección- Diseño Inseguro- Configuración de Seguridad Incorrecta- Componentes Vulnerables y Obsoletos- Fallas de Identificación y Autenticación- Fallas de Integridad de Software y Datos- Fallas de Registro y Monitoreo de Seguridad- Falsificación de Solicitudes del Lado del Servidor
Cómo Construir Control de Acceso Front-End con NFTs
JSNation 2024JSNation 2024
88 min
Cómo Construir Control de Acceso Front-End con NFTs
WorkshopFree
Solange Gueiros
Solange Gueiros
Comprende los fundamentos de la tecnología NFT y su aplicación en el fortalecimiento de la seguridad web. A través de demostraciones prácticas y ejercicios prácticos, los asistentes aprenderán cómo integrar sin problemas mecanismos de control de acceso basados en NFT en sus proyectos de desarrollo front-end.
Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk
JSNation 2022JSNation 2022
99 min
Encontrar, Hackear y solucionar las vulnerabilidades de NodeJS con Snyk
WorkshopFree
Matthew Salmon
Matthew Salmon
npm y seguridad, ¿cuánto sabes sobre tus dependencias?Hack-along, hacking en vivo de una aplicación Node vulnerable https://github.com/snyk-labs/nodejs-goof, Vulnerabilidades tanto de código abierto como de código escrito. Se anima a descargar la aplicación y hackear junto con nosotros.Corrigiendo los problemas y una introducción a Snyk con una demostración.Preguntas abiertas.
Aporta Calidad y Seguridad al pipeline de CI/CD
DevOps.js Conf 2022DevOps.js Conf 2022
76 min
Aporta Calidad y Seguridad al pipeline de CI/CD
WorkshopFree
Elena Vilchik
Elena Vilchik
En esta masterclass repasaremos todos los aspectos y etapas al integrar tu proyecto en el ecosistema de Calidad y Seguridad del Código. Tomaremos una aplicación web simple como punto de partida y crearemos un pipeline de CI que active el monitoreo de calidad del código. Realizaremos un ciclo completo de desarrollo, comenzando desde la codificación en el IDE y abriendo una Pull Request, y te mostraré cómo puedes controlar la calidad en esas etapas. Al final de la masterclass, estarás listo para habilitar esta integración en tus propios proyectos.