¿Cómo garantizar que los paquetes Nuget sean seguros para la información confidencial?

Navega tus respuestas
3

Nos ocupamos de una gran cantidad de información del cliente, incluidos el nombre, la dirección, los SSN, etc. Estamos utilizando una nueva configuración con máquinas de administración completa que tienen acceso a las bases de datos donde se almacena la información.

Necesitamos una forma de saber si los paquetes instalados a través de Visual Studios Nuget Package Manager son seguros de usar en la información confidencial de los clientes.

Por lo que sé, es que cualquiera puede contribuir con Nuget y posiblemente podría introducir un código malicioso.

¿Existe una institución / fuente confiable y bien conocida que verifique que los Paquetes Nuget sean seguros, o existe un proceso de investigación por el cual las empresas pueden pasar para garantizar la seguridad de estos paquetes sin mirar a través del código fuente completo?

    
pregunta Jimenemex 15.12.2017 - 16:11
fuente

1 respuesta

2
  

cualquiera puede contribuir a Nuget y posiblemente podría introducir un código malicioso.

Cualquiera puede aportar nuevos paquetes. Solo los propietarios de un paquete existente pueden modificarlo.

  

¿Existe alguna institución / fuente confiable y bien conocida que verifique que los Paquetes Nuget sean seguros

No que yo sepa

  

¿Existe un proceso de selección por el cual las empresas pueden pasar para garantizar la seguridad de estos paquetes sin mirar el código fuente completo?

En primer lugar, revise al encargado de paquetes, de la misma manera que lo haría con su "institución / fuente solicitada que verifica que los paquetes Nuget son seguros". Si confía en el cuerpo detrás del paquete, puede extenderlo a algo que esté bajo su control. ¡Asegúrate de aplicar el mismo proceso a cualquier dependencia!

Si no puede confiar en el autor del paquete, debe auditar el código.

    
respondido por el Hector 15.12.2017 - 16:17
fuente

Lea otras preguntas en las etiquetas

¿Cómo se integra la autenticación de huellas digitales con un servidor backend? ¿Es práctico y / o seguro que mis amigos firmen mi clave pública de OpenPGP de forma remota?