Nuevas características

Piloto de gestión de vulnerabilidades

Fco. Javier López Acevedo

Como cualquier software, Onesait Platform tiene múltiples dependencias de software de terceros, desde librerías utilizadas en tiempo de desarrollo hasta sistemas operativos utilizados en los contenedores a la hora de desplegar y es vital analizar y actualizar dichas dependencias a medida que se van detectado amenazas de seguridad.

Comunicado de la Onesait Platform sobre vulnerabilidad CVE-2021-44228

Por ello, estamos en el modelo de desarrollo seguro de Onesait Platform aplicado a la resolución de amenazas detectadas en software de terceros utilizado por Onesait Platform.

Para la versión 5.0.0-Renegade de la Plataforma hemos realizado un piloto de gestión de las vulnerabilidades manual, con la intención de automatizar el proceso en la siguiente versión.

Release 5.0.0-Renegade de Onesait Platform

Veamos en qué consiste.

Funcionamiento

En este piloto se ha realizado las siguientes actividades:

  • Obtención de vulnerabilidades: con un DataFlow nos hemos descargado del Registro GCP de la Plataforma todas la vulnerabilidades en JSON de las imágenes de la Plataforma (las que tienen una etiqueta determinada).
  • Análisis de vulnerabilidades: hemos filtrado por criticidad (quedándonos con las CRITICAS y ALTAS) y las hemos agrupado por módulos que tengan la misma incidencia de forma que facilite el análisis. Hemos generado un Dashboard base de visualización de dichas vulnerabilidades:
En esta versión se han identificado casi doscientas vulnerabilidades críticas, que son las mismas veinte repetidas en los módulos y que ya se han corregido.
  • Creación de issues: automáticamente a partir del análisis se han creado las issues en el GitLab de la Plataforma. Estas issues incluyen imágenes afectadas con el link al Registry de Google y un enlace a la descripción de la issue donde viene qué librería y versiones hay que mejorar.

Actualmente nos encontramos trabajando para implementar esta funcionalidad de manera automática, algo que seguramente veremos en la próxima release de Onesait Platform.

Si estáis interesados en conocer más sobre esta nueva funcionalidad, dejadnos un comentario o poneos en contacto con nosotros vía canales de soporte, y estaremos encantaros de enseñaros su funcionamiento.

Imagen de cabecera: Yancy Min en Unsplash.

✍🏻 Author(s)

Fco. Javier López Acevedo

See author's posts

Reads: 573

También te puede gustar

Gravitee 3.x como API Manager de Onesait Platform

Fco. Javier López Acevedo
Header graylog

Logs Centralizados

René Tashi

Nuevas funcionalidades en Portal Open Data

Fco. Javier López Acevedo

Un comentario en «Piloto de gestión de vulnerabilidades»

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *