Incorporación de la gestión de vulnerabilidades en el ciclo de vida

21/07/202321/07/2023 Fco. Javier López Acevedo

Como cualquier software, Onesait Platform tiene múltiples dependencias de software de terceros, desde librerías utilizadas en tiempo de desarrollo hasta sistemas operativos utilizados en los contenedores a la hora de desplegar.

Por lo tanto, es vital analizar y actualizar dichas dependencias a medida que se van detectado amenazas de seguridad.

La Plataforma ha incorporado a partir de esta release 5.1.0-Survivor la gestión de vulnerabilidades dentro del ciclo de vida de producto, lo que garantiza el compromiso de la Plataforma con este tema.

Release 5.1.0-Survivor de Onesait Platform

¿Cómo funciona el proceso?

En cada release (trimestral) se analizará el software (tanto propio como de terceros) que compone Onesait Platform, detectando las vulnerabilidades críticas y graves y trazando un plan de corrección durante la release.

Los puntos de actuación serán:

Se analizará el software en M-2 de la publicación de la release. Por ejemplo para la release de Q3 de la Plataforma que se publica después de septiembre, las vulnerabilidades analizadas serán las de M-2, es decir julio.
Se priorizará la resolución de incidencias críticas, y siempre que sea posible, se intentará no tener incidencias críticas, y minimizar las incidencias graves.
Como la Plataforma se compone de varios softwares Open Source (véase Kafka, Apache Zeppelin, Spring Boot, Keycloak), es posible que el producto base, por ejemplo Keycloak, en ese momento no tenga corrección para esas vulnerabilidades o que la corrección implique actualizar a una versión superior.
- Si el software no tiene corrección para esas vulnerabilidades, se indicará.
- Si el software tiene corrección en un Update Minor (por ejemplo Spring Boot, pasando de la 2.6.0 a la 2.7.0), se realizará durante la release.
- Si el software tiene corrección en una versión Major, entonces se planificará la migración a esta versión en el Roadmap de la Plataforma analizando las posibles repercusiones, como incompatibilidades, etc.

Importante

Las vulnerabilidades no dejan de aparecer, lo que puede implicar que la Plataforma tenga cero vulnerabilidades críticas en el momento M-2, pero en M hayan aparecido nuevas. Por tanto, debe verse esta gestión de vulnerabilidades como un proceso continuo de mejora, y que debe entenderse como normal que existan vulnerabilidades, tanto en la Plataforma como en los proyectos que la usan.

En algunos casos, los proyectos que usan la Plataforma no pueden actualizar de versión, bien porque la versión se ha certificado por cliente, porque el producto está en producción y debe planificarse, o por otras razones.

Si un cliente de la Plataforma necesita una gestión diferente de vulnerabilidades (con más frecuencia o detalle), puede solicitarlo, en cuyo caso éste debe asumir el esfuerzo extra.

¿Cómo se ha implementado técnicamente?

En esta release se ha automatizado el proceso de detección de vulnerabilidades.

Obtención de vulnerabilidades

Mediante un DataFlow podremos descargar del registro de imágenes de la Plataforma (en GCP Registry) la vulnerabilidades, en formato JSON, de las imágenes de la Plataforma etiquetadas con la release a analizar.

Análisis de vulnerabilidades

Se filtran por criticidad (quedándonos con las CRITICAS y ALTAS) las vulnerabilidades y se agrupan por módulos. Se ha creado un Dashboard base de visualización.

Creación de issues en GitLab

A partir del análisis, se crean automáticamente las issues en el GitLab de la Plataforma. Una issue incluye imágenes afectadas con el link al registry de Google, y un enlace a la descripción de la issue donde se especifica qué librería y versiones hay que mejorar.

La seguridad es algo que nos tomamos muy en serio, y con esta mejora avanzamos un paso importante en este sentido.

Si estáis interesados en conocer más sobre esta nueva funcionalidad, dejadnos un comentario o poneos en contacto con nosotros vía canales de soporte, y estaremos encantaros de enseñaros su funcionamiento.

Imagen de cabecera: Scott Webb en Unsplash.

✍🏻 Author(s)

Fco. Javier López Acevedo

See author's posts

cfsanchez

See author's posts

Cookie	Duración	Descripción
__cfruid	session	Cloudflare sets this cookie to identify trusted web traffic.
connect.sid	1 day	This cookie is used for authentication and for secure log-in. It registers the log-in information.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
ugid	1 year	This cookie is set by the provider Unsplash. This cookie is used for enabling the video content on the website.

Cookie	Duración	Descripción
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_127650363_5	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Duración	Descripción
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duración	Descripción
atlassian.account.ffs.id	1 year	No description available.
atlassian.account.xsrf.token	session	No description available.
cloud.session.token	past	No description
pvc_visits[0]	1 hour	This cookie is created by post-views-counter. This cookie is used to count the number of visits to a post. It also helps in preventing repeat views of a post by a visitor.
SESSION	session	No description

¿Cómo funciona el proceso?

¿Cómo se ha implementado técnicamente?

Obtención de vulnerabilidades

Análisis de vulnerabilidades

Creación de issues en GitLab

✍🏻 Author(s)

Fco. Javier López Acevedo

cfsanchez

También te puede gustar

Nuevo activo de Dashboards

Trazabilidad de procesos de negocio

Plugin de Jupyter 4.x para exportar Notebooks a Onesait Platform

Deja una respuesta Cancelar la respuesta