Compartir a través de

Auditoría de dependencias de paquetes para vulnerabilidades de seguridad

  • Artículo

Acerca de las auditorías de seguridad

Una auditoría de seguridad para administradores de paquetes como NuGet es un proceso que implica analizar la seguridad de los paquetes que se incluyen en un proyecto de software. Esto implica identificar vulnerabilidades, evaluar riesgos y realizar recomendaciones para mejorar la seguridad. La auditoría puede incluir una revisión de los propios paquetes, así como las dependencias y sus riesgos asociados. El objetivo de la auditoría es identificar y mitigar las vulnerabilidades de seguridad que podrían aprovechar los atacantes, como la inyección de código o los ataques de scripting entre sitios.

Tipo de proyecto NuGet SDK de .NET Visual Studio
PackageReference 6.8 .NET 8 SDK (8.0.100) Visual Studio 2022 17.8
packages.config 6.10 N/D Visual Studio 2022 17.10

Ejecución de una auditoría de seguridad con restore

El comando restore se ejecuta automáticamente cuando se realiza una operación de paquete común, como cargar un proyecto por primera vez, agregar un nuevo paquete, actualizar una versión de paquete o eliminar un paquete del proyecto en el IDE favorito. Se comprueba una descripción de las dependencias en un informe de vulnerabilidades conocidas en la base de datos de advertencias de GitHub.

Importante

Para auditar para comprobar los paquetes, se debe usar un origen de paquete que proporcione una base de datos de vulnerabilidades. La dirección URL V3 de NuGet.org es un ejemplo de este tipo (https://api.nuget.org/v3/index.json), pero tenga en cuenta que el punto de conexión V2 de NuGet.org no lo es.

  1. En la línea de comandos, vaya al directorio del proyecto o de la solución.
  2. Ejecute restore con sus herramientas preferidas (es decir, dotnet, MSBuild, NuGet.exe, VisualStudio, etc.).
  3. Revise las advertencias y solucione las vulnerabilidades de seguridad conocidas.

Vulnerabilidades de seguridad encontradas con actualizaciones

Si se encuentran vulnerabilidades de seguridad y hay actualizaciones disponibles para el paquete, puede hacer lo siguiente:

  • Edite el archivo .csproj u otra ubicación de versión del paquete (Directory.Packages.props) con una versión más reciente que contenga una corrección de seguridad.
  • Use la interfaz de usuario del Administrador de paquetes NuGet en Visual Studio para actualizar el paquete individual.
  • Ejecute el comando dotnet add package con el identificador de paquete correspondiente para actualizar a la versión más reciente.

Vulnerabilidades de seguridad encontradas sin actualizaciones

En caso de que exista una vulnerabilidad conocida en un paquete sin una corrección de seguridad, puede hacer lo siguiente.

  • Compruebe los factores de mitigación descritos en el informe de advertencia.
  • Use un paquete sugerido si el paquete está marcado como en desuso o está abandonado.
  • Si el paquete es de código abierto, considere la posibilidad de contribuir con una corrección.
  • Abra un problema en el seguimiento de problemas del paquete.

Comprobación de factores de mitigación

Revise el asesor de seguridad para ver los factores de mitigación que pueden permitirle seguir usando el paquete con la vulnerabilidad. La vulnerabilidad solo puede existir cuando se usa el código en un marco o sistema operativo específicos o cuando se llama a una función especial.

Uso de un paquete sugerido

En caso de que se notifique un aviso de seguridad para el paquete que usa y el paquete esté marcado como en desuso o parezca abandonado, considere la posibilidad de usar cualquier sugerencia de paquete alternativo que el autor haya declarado o un paquete que conste de una funcionalidad similar que se mantiene.

Contribución de una corrección

Si no existe una corrección para el aviso de seguridad, puede sugerir cambios que aborden la vulnerabilidad en una solicitud de cambios en el repositorio de código abierto del paquete o ponerse en contacto con el autor a través de la sección Contact owners de la página de detalles del paquete de NuGet.org.

Apertura de un problema

Si no desea corregir la vulnerabilidad o no puede actualizar o reemplazar el paquete, abra un problema en el seguimiento de problemas del paquete o en el método de contacto preferido. En NuGet.org, puede ir a la página de detalles del paquete y hacer clic en Report package, que le guiará para ponerse en contacto con el autor.

No se encontraron vulnerabilidades de seguridad

Si no se encuentra ninguna vulnerabilidad de seguridad, esto significa que los paquetes con vulnerabilidades conocidas no se encontraron en el gráfico de paquetes en el momento actual que ha comprobado. Puesto que la base de datos de advertencias se puede actualizar en cualquier momento, se recomienda comprobar periódicamente la salida dotnet restore y garantizar lo mismo en el proceso de integración continua.

Configuración de la auditoría de NuGet

La auditoría se puede configurar a través de las propiedades de MSBuild en un archivo .csproj o MSBuild que se evalúa como parte del proyecto. Se recomienda configurar la auditoría en un nivel de repositorio.

Propiedad de MSBuild Valor predeterminado Valores posibles Notas
NuGetAuditMode direct direct y all Si desea auditar las dependencias de nivel superior y transitivas, puede establecer el valor en all. NuGetAuditMode no es aplicable a los proyectos packages.config
NuGetAuditLevel  Bajo low, moderate, high y critical. Si desea ver las advertencias moderate, high y critical, establezca el valor en moderate.
NuGetAudit true true y false Si no desea recibir informes de auditoría de seguridad, puede optar por no participar en la experiencia completamente estableciendo el valor en false.

Exclusión de advertencias

Puede elegir excluir avisos específicos del informe de auditoría agregando un nuevo elemento NuGetAuditSuppress de MSBuild para cada advertencia. Defina un elemento NuGetAuditSuppress con los metadatos Include= establecidos en la dirección URL de advertencia que desea suprimir.

<ItemGroup>
    <NuGetAuditSuppress Include="https://github.com/advisories/XXXX" />
</ItemGroup>

De forma similar a las otras propiedades de configuración de auditoría de NuGet, los elementos NuGetAuditSuppress se pueden definir en el nivel de proyecto o repositorio.

NuGetAuditSuppress está disponible para proyectos de PackageReference a partir de NuGet 6.11, Visual Studio 17.11 y el SDK de .NET 8.0.400. Actualmente no está disponible para los proyectos packages.config.

Además, tiene la opción de suprimir las advertencias en función de su gravedad. Puede usar <NoWarn> para suprimir advertencias NU1901-NU1904 o usar la funcionalidad <NuGetAuditLevel> para asegurarse de que los informes de auditoría sean útiles para el flujo de trabajo.

Códigos de advertencia

Código de advertencia Motivo
NU1900 Error al comunicarse con el origen del paquete al obtener información de vulnerabilidad.
NU1901 Paquete con gravedad baja detectada
NU1902 Paquete con gravedad moderada detectada
NU1903 Paquete con gravedad alta detectada
NU1904 Paquete con gravedad crítica detectada

Puede personalizar la compilación para tratar las advertencias como errores o no tratar las advertencias como errores. Por ejemplo, si ya usa <TreatWarningsAsErrors> para tratar todas las advertencias (C#, NuGet, MSBuild, etc.) como errores, puede usar <WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors> para evitar que las vulnerabilidades detectadas en el futuro interrumpan la compilación. Como alternativa, si desea mantener vulnerabilidades bajas y moderadas como advertencias, pero tratar vulnerabilidades altas y críticas como errores y no usa TreatWarningsAsErrors, puede usar <WarningsAsErrors>NU1903;NU1904</WarningsAsErrors>.

Nota:

Las propiedades de MSBuild para la gravedad del mensaje como NoWarn y TreatWarningsAsErrors no se admiten para los proyectos packages.config.

Resumen

Las características de auditoría de seguridad son fundamentales para mantener la seguridad y la integridad de los proyectos de software. Estas características proporcionan un nivel adicional de protección contra vulnerabilidades de seguridad y garantizan que pueda usar paquetes de código abierto con confianza.