{"id":7434,"date":"2024-06-04T00:00:00","date_gmt":"2024-06-04T00:00:00","guid":{"rendered":"https:\/\/capitole-web-app-service-hvcegmd5ejaagmd7.northeurope-01.azurewebsites.net\/la-importancia-de-la-gestion-de-dependencias-de-tercero-en-el-desarrollo-software\/"},"modified":"2024-11-07T08:18:58","modified_gmt":"2024-11-07T08:18:58","slug":"la-importancia-de-la-gestion-de-dependencias-de-tercero-en-el-desarrollo-software","status":"publish","type":"post","link":"https:\/\/www.capitole-consulting.com\/es\/blog\/la-importancia-de-la-gestion-de-dependencias-de-tercero-en-el-desarrollo-software\/","title":{"rendered":"La importancia de la gesti\u00f3n de dependencias de tercero en el desarrollo software"},"content":{"rendered":"

En el mundo del desarrollo actual, es com\u00fan depender en gran medida de una variedad de componentes de terceros: librer\u00edas\/paquetes y frameworks, para agilizar el trabajo de desarrollo .Si bien estos componentes pueden ser muy \u00fatiles, tambi\u00e9n supone una serie de riesgos utilizarlos en nuestras aplicaciones, por lo que podr\u00eda hacer nuestra aplicaci\u00f3n sea vulnerable a ciertos ataques.<\/p>\n

La seguridad es un aspecto fundamental en el desarrollo de aplicaciones, especialmente en el contexto de la inminente Ley de Ciber Resiliencia Europea (CRA). Esta ley obligar\u00e1 a las empresas a tomar medidas de seguridad durante todo el ciclo de desarrollo de software. Por lo que desde Capitole consideramos que es extremadamente importante adoptar medidas para proteger nuestras aplicaciones de las amenazas que puedan surgir de estas dependencias de terceros<\/p>\n

Aqu\u00ed es donde entra en juego el An\u00e1lisis de Composici\u00f3n de Software (Software Anlysis Component).<\/p>\n

\u00bfQu\u00e9 es SCA?<\/h3>\n

SCA es un proceso de identificaci\u00f3n y evaluaci\u00f3n de los riesgos de seguridad asociados a las dependencias de software en nuestros proyectos. Su objetivo es ayudarnos a obtener un inventario de todos los componentes de terceros que se utilizan en nuestros proyectos. Gracias a este inventario podremos determinar qu\u00e9 dependencias podr\u00edan estar afectadas por vulnerabilidades conocidas, como las identificadas en el sistema de enumeraci\u00f3n de vulnerabilidades comunes (CVE)<\/p>\n

Como bien hemos comentado anteriormente el utilizar componentes de terceros puede presentar varios riesgos, incluidos:<\/p>\n

– Componentes obsoletos: el no actualizar las dependencias de nuestros proyectos puede llevarnos a tener vulnerabilidades que han sido parcheadas en versiones m\u00e1s recientes.<\/p>\n

– Vulnerabilidades conocidas: incluso en la versiones recientes pueden existir vulnerabilidades o que bien no han sido descubiertas o bien no han sido parcheadas todav\u00eda, por ello es importante conocerlas para poder mitigarlas<\/p>\n

– Componentes de alto riesgo: son aquellos que tienen acceso a datos sensibles y, por lo tanto, son cr\u00edticos para la seguridad de nuestra aplicaci\u00f3n. El SCA nos ayuda a identificar estos componentes y a tomar medidas de seguridad adicionales para protegerlos adecuadamente.<\/p>\n

Por ello es importante que integremos mecanismos en nuestro ciclo de desarrollo que nos haga tener una auditor\u00eda de estos componentes que no desarrollamos nosotros.<\/p>\n

\u00bfC\u00f3mo implementar SCA?<\/h3>\n

Para implementar el An\u00e1lisis de Composici\u00f3n de Software (SCA) en nuestros proyectos, nos apoyaremos en las herramientas proporcionadas por OWASP (Open Web Application Security Project). Este proceso consta de tres pasos fundamentales:<\/p>\n

Paso 1: An\u00e1lisis<\/h3>\n

Se identifican todas las dependencias de software mediante el inventario o lista de materiales previamente mencionado, conocido como BOM (Bill Of Materials).<\/p>\n

Paso 2: Identificaci\u00f3n y Detecci\u00f3n<\/h3>\n

Se detectan las vulnerabilidades conocidas (CVE) presentes en esas dependencias.<\/p>\n

Paso 3: Mitigaci\u00f3n<\/h3>\n

Se siguen las recomendaciones sugeridas para mitigar el riesgo asociado a estas vulnerabilidades y prevenir su explotaci\u00f3n.<\/p>\n

Para llevar a cabo este proceso, nos valdremos de tres herramientas de OWASP, todas ellas de c\u00f3digo abierto y gratuitas:<\/p>\n