cadena de suministro
5 artículos con esta etiqueta
Filtración masiva de MOVEit (2023) — cómo un zero-day de inyección SQL alcanzó a más de 2.700 organizaciones, y cómo defenderse
La entrada fue un zero-day de inyección SQL (CVE-2023-34362) en MOVEit Transfer, expuesto a internet. Se plantó un web shell (LEMURLOOT) y se robaron datos en masa de la base de datos de respaldo, golpeando a más de 2.700 organizaciones y ~93,3M de personas. La mayoría de las víctimas fueron arrastradas indirectamente porque un proveedor usaba MOVEit. En tu entorno: parcheo rápido de KEV, minimizar la exposición, mínimo privilegio y segmentación web↔BD, inventario de proveedores y minimización de datos.
Instalar y usar osv-scanner: encuentra CVE en tus dependencias
osv-scanner escanea lockfiles y contenedores para sacar a la luz CVE en tus dependencias, gratis. Esto recorre la instalación, la ejecución y la integración en CI, además de cuándo usarlo frente a npm/pnpm audit y Dependabot. La visión de este sitio: la herramienta correcta la decide TU configuración — recurre a osv-scanner en proyectos multiecosistema o sin GitHub, y al pnpm audit incluido para un único árbol npm.
Git autoalojado vs GitHub: ¿cuál es realmente más seguro?
Autoalojar Git no te hace 'más seguro' — reubica el riesgo. La clase de exposición pública accidental desaparece, pero parchear el servidor, las copias de seguridad y la detección de secretos pre-commit pasan a ti. La decisión correcta si pagas el precio; peor que GitHub si lo descuidas. La visión de este sitio: el autoalojamiento solo funciona acompañado de sus controles compensatorios.
Filtración de Codecov (2021) — cuando una «herramienta de confianza» del CI fue secuestrada y se filtraron secretos
Una herramienta de confianza del CI (el Bash Uploader curl|bash) fue alterada en origen. Como tu propio código quedó intacto, pasó ~2 meses inadvertida mientras se filtraban secretos del CI; una verificación de checksum lo detectó. En tu CI: verifica los artefactos descargados, secretos de mínimo privilegio, rotación, monitorización de salida.
La puerta trasera de XZ Utils (CVE-2024-3094) — cuando la confianza misma era el objetivo
Un mantenedor de confianza plantó una puerta trasera en xz: un ataque a la cadena de suministro. El «esto va lento» de un ingeniero lo detectó justo antes de la estable. El objetivo no era el código, sino las personas y la confianza. Minimiza dependencias, fija versiones, compila de forma reproducible, persigue anomalías y apoya a los mantenedores.