X
BLOG

¿Cuándo reemplaza el análisis de composición de software (SCA) a SAST o DAST?

¿Cuándo reemplaza el análisis de composición de software (SCA) a SAST o DAST? Tiempo de leer: 3 minutos
La respuesta corta es nunca. Ahí, acabo de ahorrarle el tiempo suficiente para que pueda ir y hacer lo correcto y ejecutar SAST y DAST y trabajar en el endurecimiento de su código en lugar de intentar probar la seguridad en su aplicación.

¿Suena esto como el comienzo de una perorata? Quizás. Pero mira, cada vez que aparece una nueva tecnología, proceso o técnica, hay gente que piensa que es la respuesta a todo. Resolverá la seguridad del software, ahorrará tiempo de desarrollo y prueba, y tal vez incluso eliminará el hambre mundial mientras está en ello. Ok, me estoy poniendo dramático. Pero decir que SCA eventualmente reemplazará a SAST es esencialmente decir que debido a que está buscando vulnerabilidades conocidas en el código de otras personas, ya no tiene que verificar el suyo.

¿Qué es el análisis de composición de software (SCA)?

SCA es análisis de composición de software. En teoría, funciona de la mano con una lista de materiales de software (algo que actualmente no existe en su mayoría) y realiza un seguimiento de las otras bibliotecas y componentes que se utilizan en su aplicación. Actualmente, estas herramientas en su mayoría solo escanean los componentes de código abierto para su aplicación y no necesariamente funcionan con una lista de materiales. (NOTA: algunas de estas herramientas también realizan otras funciones, como buscar fragmentos de cortar y pegar de proyectos de OSS, o identificar y administrar problemas de licencias de OSS. Ambos son interesantes e importantes, pero aún no reemplazan lo que está haciendo SAST).

Una función principal de SCA es verificar los componentes de su aplicación en busca de vulnerabilidades conocidas. Esto es importante para que pueda evitar problemas de día cero, así como para abordar el problema de que es posible que no tenga fuente para algunos componentes y, por lo tanto, no pueda utilizar SAST para ellos.

OWASP proporciona herramientas para la seguridad de la cadena de suministro

Debo decir que SCA es sin duda una parte valiosa de su conjunto de herramientas para proteger sus sistemas de software. La popular y útil organización de seguridad conocida como Open Web Application Security Project (OWASP) incluso ha agregado este concepto a la última versión de la popular lista OWASP Top 10 de los riesgos de seguridad más críticos en la actualidad. Aparece como elemento A9 - Uso de componentes con vulnerabilidades conocidas. Si no está utilizando OWASP, probablemente debería hacerlo. Si no está comprobando su aplicación en busca de vulnerabilidades conocidas contra el CVEy  NVD bases de datos, debería hacerlo. Dichas fuentes realizan un seguimiento de los ataques reales que ocurren y de los parches y otras soluciones disponibles.

OWASP incluso ha construido una herramienta llamada Verificación de dependencia de OWASP que puede hacer este trabajo por usted. Como todo lo que OWASP tiene para ofrecer, no tiene costo. Dependency-Check es una utilidad de análisis de composición de software que identifica las dependencias del proyecto y verifica si hay vulnerabilidades conocidas y divulgadas públicamente.

La seguridad de la cadena de suministro de software es una parte fundamental de la seguridad de las aplicaciones

Debo admitir que no hace muchos años, la cadena de suministro de software era un tema que en su mayoría se pasaba por alto. Algunas personas clave, muchas de ellas parte del Foro de aseguramiento de la cadena de suministro de software (SSCA) trabajó arduamente para resaltar esta debilidad en la seguridad de las aplicaciones enfocándose no solo en su código, sino también en su cadena de suministro. De hecho, el foro SSCA, que está alojado en el Departamento de Defensa de los Estados Unidos (DoD), Departamento de Seguridad Nacional (DHS), Administración de servicios generales (GSA) y Instituto Nacional de Estándares y Tecnología (NIST), antes se llamaba Software Assurance Forum (SwA) y cambiaron el nombre para ayudar a centrarse más en la cadena de suministro. Pero la intención era expandir el foco, no moverlo de su código al de otra persona.

Al Foro de aseguramiento de la cadena de suministro y software (SSCA) proporciona un lugar para que el gobierno, la industria y los participantes académicos de todo el mundo compartan su conocimiento y experiencia con respecto a los riesgos del software y la cadena de suministro, prácticas efectivas y estrategias de mitigación, herramientas y tecnologías, y cualquier brecha relacionada con las personas, los procesos o las tecnologías involucrado.

En la práctica, SCA es una actividad de prueba: asegurarse de que su aplicación se verifique con una lista y cumpla con esa lista (como vulnerabilidades conocidas como NVD). Por el contrario, SAST NO es principalmente una función de prueba (herejía, lo sé ...) sino más bien una función de ingeniería. El valor más pequeño de SAST es encontrar una debilidad o vulnerabilidad antes de lo que lo haría la prueba de penetración. El mayor valor de SAST es guiarlo para fortalecer su código en primer lugar. Deje de intentar tapar las fugas y crear código que no se filtre en primer lugar. Es la única forma de adelantarse a la curva de seguridad de las aplicaciones. Si lo hace a la perfección, seguirá necesitando SCA, porque todavía tiene el problema de todos esos componentes en su aplicación, así como de otros programas con los que interactúa y el propio sistema operativo. Si hace bien SCA, todavía necesita SAST porque aunque ha solucionado problemas en el código de otras personas, no ha hecho nada por el suyo. Los propósitos se complementan, no se reemplazan entre sí.

En resumen, SCA es genial, lo quiere, de hecho lo necesita. Estoy feliz de que esté recibiendo más atención que en el pasado. Pero decir que reemplazará a DAST o SAST es como decir que tiene un martillo y no necesita un destornillador.

Incorpore seguridad a su aplicación desde el principio

Escrito por

Arthur Hicken

Arthur ha estado involucrado en seguridad de software y automatización de pruebas en Parasoft durante más de 25 años, ayudando a investigar nuevos métodos y técnicas (incluidas 5 patentes) mientras ayuda a los clientes a mejorar sus prácticas de software.

Reciba las últimas noticias y recursos sobre pruebas de software en su bandeja de entrada.

Prueba Parasoft