Auditoría de dependencias de paquetes para vulnerabilidades de seguridad
Acerca de las auditorías de seguridad
Una auditoría de seguridad para administradores de paquetes como NuGet es un proceso que implica analizar la seguridad de los paquetes que se incluyen en un proyecto de software. Esto implica identificar vulnerabilidades, evaluar riesgos y realizar recomendaciones para mejorar la seguridad. La auditoría puede incluir una revisión de los propios paquetes, así como las dependencias y sus riesgos asociados. El objetivo de la auditoría es identificar y mitigar las vulnerabilidades de seguridad que podrían aprovechar los atacantes, como la inyección de código o los ataques de scripting entre sitios.
La auditoría de NuGet está disponible a partir de NuGet 6.8, el SDK de .NET 8 (8.0.100) y Visual Studio 2022 17.8.
Ejecución de una auditoría de seguridad con restore
El comando restore se ejecuta automáticamente cuando se realiza una operación de paquete común, como cargar un proyecto por primera vez, agregar un nuevo paquete, actualizar una versión de paquete o eliminar un paquete del proyecto en el IDE favorito.
Se comprueba una descripción de las dependencias en un informe de vulnerabilidades conocidas en la base de datos de advertencias de GitHub.
Importante
Para auditar para comprobar los paquetes, se debe usar un origen de paquete que proporcione una base de datos de vulnerabilidades. La dirección URL V3 de NuGet.org es un ejemplo de este tipo (https://api.nuget.org/v3/index.json), pero tenga en cuenta que el punto de conexión V2 de NuGet.org no lo es.
- En la línea de comandos, vaya al directorio del proyecto o de la solución.
- Asegúrese de que el proyecto o la solución contengan un archivo
.csproj. - Escriba
dotnet restoreorestorecon sus herramientas preferidas (es decir, MSBuild, NuGet.exe, etc.). - Revise el informe de auditoría y solucione las vulnerabilidades de seguridad conocidas.
Nota:
En este momento, NuGet no audita proyectos packages.config.
Revisión y actuación en el informe de auditoría de seguridad
Al ejecutar dotnet restore, se generará un informe de vulnerabilidades de seguridad con el nombre del paquete afectado, la gravedad de la vulnerabilidad y un vínculo a la advertencia para obtener más detalles.
Vulnerabilidades de seguridad encontradas con actualizaciones
Si se encuentran vulnerabilidades de seguridad y hay actualizaciones disponibles para el paquete, puede hacer lo siguiente:
- Edite el archivo
.csproju otra ubicación de versión del paquete (Directory.Packages.props) con una versión más reciente que contenga una corrección de seguridad. - Use la interfaz de usuario del Administrador de paquetes NuGet en Visual Studio para actualizar el paquete individual.
- Ejecute el comando
dotnet add packagecon el identificador de paquete correspondiente para actualizar a la versión más reciente.
Vulnerabilidades de seguridad encontradas sin actualizaciones
En caso de que exista una vulnerabilidad conocida en un paquete sin una corrección de seguridad, puede hacer lo siguiente.
- Compruebe los factores de mitigación descritos en el informe de advertencia.
- Use un paquete sugerido si el paquete está marcado como en desuso o está abandonado.
- Si el paquete es de código abierto, considere la posibilidad de contribuir con una corrección.
- Abra un problema en el seguimiento de problemas del paquete.
Comprobación de factores de mitigación
Revise el asesor de seguridad para ver los factores de mitigación que pueden permitirle seguir usando el paquete con la vulnerabilidad. La vulnerabilidad solo puede existir cuando se usa el código en un marco o sistema operativo específicos o cuando se llama a una función especial.
Uso de un paquete sugerido
En caso de que se notifique un aviso de seguridad para el paquete que usa y el paquete esté marcado como en desuso o parezca abandonado, considere la posibilidad de usar cualquier sugerencia de paquete alternativo que el autor haya declarado o un paquete que conste de una funcionalidad similar que se mantiene.
Contribución de una corrección
Si no existe una corrección para el aviso de seguridad, puede sugerir cambios que aborden la vulnerabilidad en una solicitud de cambios en el repositorio de código abierto del paquete o ponerse en contacto con el autor a través de la sección Contact owners de la página de detalles del paquete de NuGet.org.
Apertura de un problema
Si no desea corregir la vulnerabilidad o no puede actualizar o reemplazar el paquete, abra un problema en el seguimiento de problemas del paquete o en el método de contacto preferido.
En NuGet.org, puede ir a la página de detalles del paquete y hacer clic en Report package, que le guiará para ponerse en contacto con el autor.
No se encontraron vulnerabilidades de seguridad
Si no se encuentra ninguna vulnerabilidad de seguridad, esto significa que los paquetes con vulnerabilidades conocidas no se encontraron en el gráfico de paquetes en el momento actual que ha comprobado.
Puesto que la base de datos de advertencias se puede actualizar en cualquier momento, se recomienda comprobar periódicamente la salida dotnet restore y garantizar lo mismo en el proceso de integración continua.
Establecimiento de un modo de auditoría de seguridad
De manera predeterminada, se realiza una auditoría de seguridad para las dependencias de nivel superior.
En caso de que quiera auditar las dependencias transitivas y de nivel superior, puede establecer la propiedad <NuGetAuditMode> de MSBuild en el modo deseado en el que se ejecutará la auditoría.
Los valores posibles son direct y all.
Por ejemplo, si desea auditar todas las dependencias de avisos de seguridad, puede establecer lo siguiente:
<NuGetAuditMode>all</NuGetAuditMode>
Nota:
Visual Studio 2022 17.8 no admite cambiar el modo auditoría para los paquetes de estilo del SDK. Funciona desde la versión preliminar 2 de la versión 17.9.
Establecimiento de un nivel de auditoría de seguridad
En los casos en los que solo le interesa un umbral determinado de una gravedad de aviso de seguridad, puede establecer la propiedad <NuGetAuditLevel> de MSBuild en el nivel deseado en el que se producirá un error en la auditoría.
Los valores posibles son low, moderate, high y critical.
Por ejemplo, si solo desea ver advertencias moderate, high y critical, puede establecer lo siguiente:
<NuGetAuditLevel>moderate</NuGetAuditLevel>
Exclusión de advertencias
No se admite la exclusión de advertencias individuales en este momento.
Puede usar <NoWarn> para suprimir advertencias NU1901-NU1904 o usar la funcionalidad <NuGetAuditLevel> para asegurarse de que los informes de auditoría sean útiles para el flujo de trabajo.
Códigos de advertencia
| Código de advertencia | Motivo |
|---|---|
| NU1900 | Error al comunicarse con el origen del paquete al obtener información de vulnerabilidad. |
| NU1901 | Paquete con gravedad baja detectada |
| NU1902 | Paquete con gravedad moderada detectada |
| NU1903 | Paquete con gravedad alta detectada |
| NU1904 | Paquete con gravedad crítica detectada |
Puede personalizar la compilación para tratar las advertencias como errores o no tratar las advertencias como errores.
Por ejemplo, si ya usa <TreatWarningsAsErrors> para tratar todas las advertencias (C#, NuGet, MSBuild, etc.) como errores, puede usar <WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors> para evitar que las vulnerabilidades detectadas en el futuro interrumpan la compilación.
Como alternativa, si desea mantener vulnerabilidades bajas y moderadas como advertencias, pero tratar vulnerabilidades altas y críticas como errores y no usa TreatWarningsAsErrors, puede usar <WarningsAsErrors>NU1903;NU1904</WarningsAsErrors>.
Deshabilitación de la auditoría de seguridad
En cualquier momento que no quiera recibir informes de auditoría de seguridad, puede no participar en la experiencia completamente estableciendo la siguiente propiedad de MSBuild en un archivo .csproj o en un archivo de MSBuild que se evalúe como parte del proyecto:
<NuGetAudit>false</NuGetAudit>
Resumen
Las características de auditoría de seguridad son fundamentales para mantener la seguridad y la integridad de los proyectos de software. Estas características proporcionan un nivel adicional de protección contra vulnerabilidades de seguridad y garantizan que pueda usar paquetes de código abierto con confianza.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de