Seguridad en la Cadena de Suministro de Software
Análisis de contenedores, IaC y dependencias de software para detectar malware o configuraciones inseguras.
Se refiere a la práctica de identificar, analizar y mitigar los riesgos de seguridad asociados con el software de terceros, las dependencias de código abierto y los componentes utilizados para construir una aplicación. Cada pieza de código que no escribe usted mismo es parte de su cadena de suministro.
Una vulnerabilidad en una pequeña dependencia puede tener un impacto masivo en toda la aplicación, como se ha visto en ataques notorios como el de SolarWinds o la vulnerabilidad Log4Shell.
Áreas Clave de Análisis
Escaneo de imágenes de Docker y otros formatos en busca de vulnerabilidades conocidas en el SO base y las librerías instaladas. Herramientas como Trivy y Anchore son líderes en este espacio.
También conocido como Análisis de Composición de Software (SCA). Identifica todas las dependencias de código abierto en un proyecto y las compara con bases de datos de vulnerabilidades. Herramientas como OWASP Dependency-Check y Snyk son comunes.
Análisis de ficheros de Infraestructura como Código (Terraform, CloudFormation, Kubernetes) para detectar configuraciones inseguras que podrían exponer la infraestructura. Herramientas como Checkov y Trivy también cubren este ámbito.
La clave es integrar estas herramientas de análisis en los pipelines de CI/CD (con Jenkins, GitLab CI, GitHub Actions) para detectar problemas de forma temprana y automática, evitando que las vulnerabilidades lleguen a producción.