Auditoría de dependencias de paquetes para vulnerabilidades de seguridad
Acerca de las auditorías de seguridad
Una auditoría de seguridad para administradores de paquetes como NuGet es un proceso que implica analizar la seguridad de los paquetes que se incluyen en un proyecto de software. Esto implica identificar vulnerabilidades, evaluar riesgos y realizar recomendaciones para mejorar la seguridad. La auditoría puede incluir una revisión de los propios paquetes, así como las dependencias y sus riesgos asociados. El objetivo de la auditoría es identificar y mitigar las vulnerabilidades de seguridad que podrían aprovechar los atacantes, como la inyección de código o los ataques de scripting entre sitios.
Tipo de proyecto | NuGet | SDK de .NET | Visual Studio |
---|---|---|---|
PackageReference | 6.8 | .NET 8 SDK (8.0.100) | Visual Studio 2022 17.8 |
packages.config | 6.10 | N/D | Visual Studio 2022 17.10 |
Ejecución de una auditoría de seguridad con restore
El comando restore
se ejecuta automáticamente cuando se realiza una operación de paquete común, como cargar un proyecto por primera vez, agregar un nuevo paquete, actualizar una versión de paquete o eliminar un paquete del proyecto en el IDE favorito.
Se comprueba una descripción de las dependencias en un informe de vulnerabilidades conocidas en la base de datos de advertencias de GitHub.
Importante
Para auditar para comprobar los paquetes, se debe usar un origen de paquete que proporcione una base de datos de vulnerabilidades. La dirección URL V3 de NuGet.org es un ejemplo de este tipo (https://api.nuget.org/v3/index.json), pero tenga en cuenta que el punto de conexión V2 de NuGet.org no lo es.
- En la línea de comandos, vaya al directorio del proyecto o de la solución.
- Ejecute
restore
con sus herramientas preferidas (es decir, dotnet, MSBuild, NuGet.exe, VisualStudio, etc.). - Revise las advertencias y solucione las vulnerabilidades de seguridad conocidas.
Vulnerabilidades de seguridad encontradas con actualizaciones
Si se encuentran vulnerabilidades de seguridad y hay actualizaciones disponibles para el paquete, puede hacer lo siguiente:
- Edite el archivo
.csproj
u otra ubicación de versión del paquete (Directory.Packages.props
) con una versión más reciente que contenga una corrección de seguridad. - Use la interfaz de usuario del Administrador de paquetes NuGet en Visual Studio para actualizar el paquete individual.
- Ejecute el comando
dotnet add package
con el identificador de paquete correspondiente para actualizar a la versión más reciente.
Vulnerabilidades de seguridad encontradas sin actualizaciones
En caso de que exista una vulnerabilidad conocida en un paquete sin una corrección de seguridad, puede hacer lo siguiente.
- Compruebe los factores de mitigación descritos en el informe de advertencia.
- Use un paquete sugerido si el paquete está marcado como en desuso o está abandonado.
- Si el paquete es de código abierto, considere la posibilidad de contribuir con una corrección.
- Abra un problema en el seguimiento de problemas del paquete.
Comprobación de factores de mitigación
Revise el asesor de seguridad para ver los factores de mitigación que pueden permitirle seguir usando el paquete con la vulnerabilidad. La vulnerabilidad solo puede existir cuando se usa el código en un marco o sistema operativo específicos o cuando se llama a una función especial.
Uso de un paquete sugerido
En caso de que se notifique un aviso de seguridad para el paquete que usa y el paquete esté marcado como en desuso o parezca abandonado, considere la posibilidad de usar cualquier sugerencia de paquete alternativo que el autor haya declarado o un paquete que conste de una funcionalidad similar que se mantiene.
Contribución de una corrección
Si no existe una corrección para el aviso de seguridad, puede sugerir cambios que aborden la vulnerabilidad en una solicitud de cambios en el repositorio de código abierto del paquete o ponerse en contacto con el autor a través de la sección Contact owners
de la página de detalles del paquete de NuGet.org.
Apertura de un problema
Si no desea corregir la vulnerabilidad o no puede actualizar o reemplazar el paquete, abra un problema en el seguimiento de problemas del paquete o en el método de contacto preferido.
En NuGet.org, puede ir a la página de detalles del paquete y hacer clic en Report package
, que le guiará para ponerse en contacto con el autor.
No se encontraron vulnerabilidades de seguridad
Si no se encuentra ninguna vulnerabilidad de seguridad, esto significa que los paquetes con vulnerabilidades conocidas no se encontraron en el gráfico de paquetes en el momento actual que ha comprobado.
Puesto que la base de datos de advertencias se puede actualizar en cualquier momento, se recomienda comprobar periódicamente la salida dotnet restore
y garantizar lo mismo en el proceso de integración continua.
Configuración de la auditoría de NuGet
La auditoría se puede configurar a través de las propiedades de MSBuild en un archivo .csproj
o MSBuild que se evalúa como parte del proyecto.
Se recomienda configurar la auditoría en un nivel de repositorio.
Propiedad de MSBuild | Valor predeterminado | Valores posibles | Notas |
---|---|---|---|
NuGetAuditMode | direct | direct y all |
Si desea auditar las dependencias de nivel superior y transitivas, puede establecer el valor en all . NuGetAuditMode no es aplicable a los proyectos packages.config |
NuGetAuditLevel | Bajo | low , moderate , high y critical . |
Si desea ver las advertencias moderate , high y critical , establezca el valor en moderate . |
NuGetAudit | true | true y false |
Si no desea recibir informes de auditoría de seguridad, puede optar por no participar en la experiencia completamente estableciendo el valor en false . |
Exclusión de advertencias
Puede elegir excluir avisos específicos del informe de auditoría agregando un nuevo elemento NuGetAuditSuppress
de MSBuild para cada advertencia.
Defina un elemento NuGetAuditSuppress
con los metadatos Include=
establecidos en la dirección URL de advertencia que desea suprimir.
<ItemGroup>
<NuGetAuditSuppress Include="https://github.com/advisories/XXXX" />
</ItemGroup>
De forma similar a las otras propiedades de configuración de auditoría de NuGet, los elementos NuGetAuditSuppress
se pueden definir en el nivel de proyecto o repositorio.
NuGetAuditSuppress
está disponible para proyectos de PackageReference a partir de NuGet 6.11, Visual Studio 17.11 y el SDK de .NET 8.0.400.
Actualmente no está disponible para los proyectos packages.config.
Además, tiene la opción de suprimir las advertencias en función de su gravedad.
Puede usar <NoWarn>
para suprimir advertencias NU1901
-NU1904
o usar la funcionalidad <NuGetAuditLevel>
para asegurarse de que los informes de auditoría sean útiles para el flujo de trabajo.
Códigos de advertencia
Código de advertencia | Motivo |
---|---|
NU1900 | Error al comunicarse con el origen del paquete al obtener información de vulnerabilidad. |
NU1901 | Paquete con gravedad baja detectada |
NU1902 | Paquete con gravedad moderada detectada |
NU1903 | Paquete con gravedad alta detectada |
NU1904 | Paquete con gravedad crítica detectada |
Puede personalizar la compilación para tratar las advertencias como errores o no tratar las advertencias como errores.
Por ejemplo, si ya usa <TreatWarningsAsErrors>
para tratar todas las advertencias (C#, NuGet, MSBuild, etc.) como errores, puede usar <WarningsNotAsErrors>NU1901;NU1902;NU1903;NU1904</WarningsNotAsErrors>
para evitar que las vulnerabilidades detectadas en el futuro interrumpan la compilación.
Como alternativa, si desea mantener vulnerabilidades bajas y moderadas como advertencias, pero tratar vulnerabilidades altas y críticas como errores y no usa TreatWarningsAsErrors
, puede usar <WarningsAsErrors>NU1903;NU1904</WarningsAsErrors>
.
Nota:
Las propiedades de MSBuild para la gravedad del mensaje como NoWarn
y TreatWarningsAsErrors
no se admiten para los proyectos packages.config.
Resumen
Las características de auditoría de seguridad son fundamentales para mantener la seguridad y la integridad de los proyectos de software. Estas características proporcionan un nivel adicional de protección contra vulnerabilidades de seguridad y garantizan que pueda usar paquetes de código abierto con confianza.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de