¿Por qué alojar bibliotecas de terceros en lugar de confiar en CDN, Nuget, GitHub?

2

Estoy teniendo problemas con algunas pautas de seguridad empresarial que requieren que las bibliotecas de terceros se alojen internamente. La preocupación inmediata es que nuestro servidor de compilación se conecte a GitHub para la resolución de paquetes, pero hemos estado golpeando a NuGet durante años y buscamos a los anfitriones de CDN para nuestras aplicaciones de producción en vuelo.

¿Qué seguridad proporciona el hospedaje automático si ya confío en el autor y el paquete del paquete? ¿contenido?

    
pregunta ajamrozek 21.12.2017 - 06:22
fuente

2 respuestas

3
  

¿Qué seguridad proporciona el hospedaje automático si ya confío en el autor y el paquete del paquete? contenidos?

Incluir contenido de un sistema de terceros fuera de su control no solo significa que debe confiar en los autores del contenido para que no agreguen voluntariamente contenido malicioso, sino que también debe confiar en ellos para mantener sus sistemas disponibles y seguros. En otras palabras: incluir contenido de un host de terceros hace que sea vulnerable frente a los ataques de DOS a estos hosts (es decir, dañar la disponibilidad) y también comprometer el sistema de terceros que puede afectar su propia seguridad.

    
respondido por el Steffen Ullrich 21.12.2017 - 06:51
fuente
1

Los paquetes de hospedaje automático en lugar de aprovechar NuGet o un CDN (por ejemplo, para las bibliotecas js) en teoría, brindarán algunos beneficios:

  • Idealmente, usted tiene el control total del repositorio, por lo que sabe exactamente la fuente de los archivos, la postura de seguridad del repositorio y puede garantizar que los paquetes no se hayan modificado de manera ilícita a través del compromiso de ese tercero - mientras estás felizmente tomándolos como una dependencia en tu proyecto. También controla todos los derechos administrativos y de publicación de las personas verificadas.
    (Dicho esto, NuGet ha reconocido la necesidad de que los clientes garanticen más confianza en la autenticidad de un paquete y tiene una publicación en el blog que describe los detalles de sus planes en esta publicación del blog: enlace )

  • Los equipos de ingeniería exactos pueden esencialmente "incluir en la lista blanca" y restringir los paquetes permitidos que puede tomar como una dependencia en su proyecto, después de que hayan sido examinados con éxito a través de algún proceso de seguridad y rigor. Por ejemplo, puedo restringir las versiones de cualquier paquete dado a aquellas que hayan resuelto una vulnerabilidad pública conocida. Además, es más probable que la inclusión en la lista blanca de paquetes en buen estado evite que un error tipográfico en la configuración de dependencia me abra a un paquete con contenido malicioso, como lo describen las preocupaciones recientes sobre "typosquatting": enlace

respondido por el Tara Hodges 21.12.2017 - 20:11
fuente

Lea otras preguntas en las etiquetas