Piloto de gestión de vulnerabilidades

Como cualquier software, Onesait Platform tiene múltiples dependencias de software de terceros, desde librerías utilizadas en tiempo de desarrollo hasta sistemas operativos utilizados en los contenedores a la hora de desplegar y es vital analizar y actualizar dichas dependencias a medida que se van detectado amenazas de seguridad.

Por ello, estamos en el modelo de desarrollo seguro de Onesait Platform aplicado a la resolución de amenazas detectadas en software de terceros utilizado por Onesait Platform.

Para la versión 5.0.0-Renegade de la Plataforma hemos realizado un piloto de gestión de las vulnerabilidades manual, con la intención de automatizar el proceso en la siguiente versión.

Veamos en qué consiste.

Funcionamiento

En este piloto se ha realizado las siguientes actividades:

  • Obtención de vulnerabilidades: con un DataFlow nos hemos descargado del Registro GCP de la Plataforma todas la vulnerabilidades en JSON de las imágenes de la Plataforma (las que tienen una etiqueta determinada).
  • Análisis de vulnerabilidades: hemos filtrado por criticidad (quedándonos con las CRITICAS y ALTAS) y las hemos agrupado por módulos que tengan la misma incidencia de forma que facilite el análisis. Hemos generado un Dashboard base de visualización de dichas vulnerabilidades:
En esta versión se han identificado casi doscientas vulnerabilidades críticas, que son las mismas veinte repetidas en los módulos y que ya se han corregido.
  • Creación de issues: automáticamente a partir del análisis se han creado las issues en el GitLab de la Plataforma. Estas issues incluyen imágenes afectadas con el link al Registry de Google y un enlace a la descripción de la issue donde viene qué librería y versiones hay que mejorar.

Actualmente nos encontramos trabajando para implementar esta funcionalidad de manera automática, algo que seguramente veremos en la próxima release de Onesait Platform.

Si estáis interesados en conocer más sobre esta nueva funcionalidad, dejadnos un comentario o poneos en contacto con nosotros vía canales de soporte, y estaremos encantaros de enseñaros su funcionamiento.


Imagen de cabecera: Yancy Min en Unsplash.

✍🏻 Author(s)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *