Socket va más allá de JavaScript y Python y entra en Go • The Register

Jul 31, 2023

Entrevista El negocio de seguridad de código abierto Socket está ampliando su verificador de dependencia de código fuente, que anteriormente solo abordaba JavaScript y Python, agregando soporte para verificar el código Go.

Al anunciar una ronda de financiación Serie A de 20 millones de dólares, el taller de seguridad ha tenido una semana ocupada con tres incorporaciones a su conjunto de herramientas de código:

"El software de código abierto ha revolucionado la forma en que desarrollamos aplicaciones, pero también ha traído su propia serie de desafíos", dijo a The Register su director ejecutivo, Feross Aboukhadijeh. "Uno de los más importantes es garantizar la seguridad de la vasta red de dependencias de las que dependen las aplicaciones modernas".

"Las aplicaciones utilizan tantas dependencias que aturde la mente. Un ejemplo ilustrativo es el cliente de escritorio Discord, que utiliza más de 19.000 dependencias creadas por más de 380.000 contribuyentes de más de 200 países".

Al extenderse a Go, Aboukhadijeh dijo que Socket está tratando de ayudar a los desarrolladores a crear software más seguro mediante la identificación de riesgos de seguridad. O lo hará dentro de dos días, según la fecha de publicación del anuncio del 3 de agosto de 2023.

Go, dijo Aboukhadijeh, "es un lenguaje que ha experimentado una rápida adopción entre la comunidad de desarrolladores, especialmente entre los clientes de Socket. Go es conocido por su simplicidad y eficiencia, lo que lo convierte en una opción popular para aplicaciones de alto rendimiento. Sin embargo, como cualquier lenguaje , no es inmune a los riesgos de seguridad, especialmente debido a su enfoque de búsqueda de dependencias descentralizado basado en VCS".

Socket, que debutó el año pasado, tiene un nivel gratuito para desarrolladores individuales, además de niveles empresariales y de equipo pagos. Se diferencia de la competencia al señalar que, si bien existen otros escáneres de seguridad para evaluar paquetes de código abierto, estos generalmente analizan vulnerabilidades conocidas. Socket adopta el enfoque opuesto y parte del supuesto de que todos los paquetes de código abierto pueden ser maliciosos.

"Socket analiza el comportamiento de un paquete para detectar scripts de instalación, código ofuscado, API privilegiadas como shell, red, sistema de archivos y variables de entorno", tuiteó la tienda de seguridad el año pasado.

El surgimiento de Socket sigue al reciente descubrimiento de importantes ataques a la cadena de suministro de software. Estos incluyen intentos de comprometer aplicaciones de software a través de bibliotecas o scripts de terceros ejecutados durante el proceso de compilación e integración.

La proliferación de este tipo de ataques ha dado lugar a un mandato federal de EE. UU. para que los programadores documenten sus prácticas de desarrollo de software a través de una Lista de materiales de software (SBOM), entre otras iniciativas relacionadas.

Socket también presentó una extensión de navegador gratuita para navegadores web basados ​​en Chromium, Firefox, que tiene como objetivo mostrar datos de análisis de seguridad para paquetes de código alojados en el registro NPM. También llegará una versión del complemento para el navegador Safari de Apple.

"Nuestro objetivo es producir información que de otro modo les llevaría a los desarrolladores horas de investigación para descubrirla y ponerla al alcance de los desarrolladores en el momento crucial cuando están buscando un nuevo paquete de código abierto para agregar a la aplicación", dijo Aboukhadijeh. .

Se ha vuelto bastante común que los malhechores intenten introducir código comprometido en el administrador de paquetes NPM para JavaScript para que los desarrolladores desprevenidos agreguen las bibliotecas subvertidas a sus aplicaciones. La extensión del navegador Socket rastrea las páginas web de paquetes NPM para que sea más fácil ver si hay motivos de sospecha.

"El desafío de proteger el software de código abierto es recursivo", afirmó Aboukhadijeh. "No se trata sólo de que los desarrolladores de aplicaciones elijan dependencias seguras, sino que también se trata de que esas dependencias dependan de dependencias seguras, etc. Esta complejidad subraya la importancia de hacer que la información de seguridad sea ampliamente accesible".

Aboukhadijeh dijo que Socket se complace en proporcionar datos de análisis de seguridad de forma gratuita en su sitio web y señaló un ejemplo de cómo dichos datos pueden advertir a los desarrolladores que no utilicen códigos incorrectos.

"Por ejemplo, aquí hay un informe de paquete de socket para un paquete cargado de malware que, en el momento de su publicación, todavía está alojado en NPM: https://socket.dev/npm/package/bobjoll/overview/6.640.3. Para desarrolladores que quieran Profundice, Socket proporciona de manera útil un enlace profundo al archivo malicioso aquí: https://socket.dev/npm/package/bobjoll/files/6.640.3/scripts/script.js"

Con la extensión del navegador de la empresa, esos datos aparecerán en las páginas web relevantes del paquete NPM, así:

Captura de pantalla de la página NPM para el paquete bobjoll, con extensión de socket: haga clic para ampliar

Otro producto pendiente, para los clientes que elijan el nivel pago de Socket, brindará la capacidad de ejecutar una búsqueda de dependencia en toda la organización, que también se detalla en una publicación de blog con fecha posterior. Esta capacidad permite a las organizaciones buscar dependencias específicas en todos sus repositorios de software para tener una mejor idea de lo que hay en la red.

"La directiva de la Casa Blanca sobre SBOM enfatizó su importancia en la transparencia del software", dijeron en la publicación los críticos de software de Socket Bradley Meck Farias, Mikola Lysenko y Segun Adebayo. "Lamentablemente, pocas empresas siquiera recopilan SBOM, y mucho menos los utilizan productivamente. La búsqueda de dependencia de Socket no se trata sólo de recopilar estos SBOM, sino también de proporcionar [información útil]".

Esa última oración incluía las palabras "procesable" y "operacional", razón por la cual parafraseamos el pasaje.

"Creemos que todos los desarrolladores deberían tener esta información crucial a su alcance cuando deciden qué dependencias utilizar, independientemente de si su empresa es cliente de Socket", afirmó Aboukhadijeh. "Este enfoque no se trata sólo de hacer lo correcto; también es nuestra forma de retribuirlo a la comunidad de código abierto de la que formamos parte". ®

Envíanos noticias