Usar Componentes de Software de Terceros Actualizados y Confiables
Descripción
Usar componentes de software de terceros actualizados y confiables. Cuando sea posible, elegir frameworks y bibliotecas establecidos y probados que proporcionen seguridad adecuada. Adquirir estos componentes de fuentes confiables o evaluar el software en busca de vulnerabilidades antes de su uso.
Lista de Verificación de Implementación
Herramientas Recomendadas
Seguridad de aplicaciones orientada al desarrollador con SCA, escaneo de contenedores, seguridad de IaC y SAST integrados en CI/CD
Snyk · Suscripción por desarrollador
Suite de pruebas de seguridad de aplicaciones con SAST (Coverity), SCA (Black Duck) y DAST para AppSec integral
Synopsys · Suscripción por desarrollador
Plataforma de seguridad de aplicaciones nativa en la nube con SAST, SCA, DAST, seguridad de API y pruebas de seguridad de cadena de suministro
Checkmarx · Suscripción por desarrollador
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Explotación de Vulnerabilidad Conocida en Biblioteca Desactualizada
IntegridadUn atacante explota una vulnerabilidad bien documentada en una biblioteca de terceros desactualizada que el equipo de desarrollo nunca actualizó porque ningún proceso requiere mantener los componentes actualizados.
Ataque de Sustitución de Paquete Malicioso
IntegridadUn desarrollador descarga un componente de terceros de una fuente no confiable que contiene malware embebido, porque ninguna política requiere adquirir componentes de repositorios confiables.
Ataque de Typosquatting en Repositorio de Paquetes
ConfidencialidadUn desarrollador instala un paquete malicioso con un nombre similar a una biblioteca legítima de un repositorio público porque ningún proceso de verificación valida los componentes antes de incluirlos en el código base.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Componentes de Terceros Desactualizados en Producción
Sin un requisito de mantener actualizados los componentes de terceros, las aplicaciones ejecutan con versiones desactualizadas que contienen vulnerabilidades conocidas que los atacantes pueden explotar fácilmente usando herramientas disponibles públicamente.
Sin Validación de Fuentes de Componentes de Terceros
La ausencia de un requisito de fuentes confiables significa que los desarrolladores pueden adquirir componentes de repositorios no verificados, aumentando el riesgo de incluir código comprometido o malicioso.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |