Etiqueta: Sonatype

Publicado el

Octopus Scanner. Analiza si tu proyecto está afectado

Análisis de un proyecto mediante Octopus Scanner

Octopus Scanner compromete más de 26 proyectos OSS en GitHub.

En el momento de preparar una ensalada para el almuerzo o la cena, ¿qué ingredientes usas?, ¿lechuga, zanahorias, cebollas, tomates, aderezo?. 

Si solo revisas la lista de ingredientes, sabrás lo que has usado, pero no la calidad de los ingredientes en sí.

En el ámbito del análisis de componentes de software (SCA), la diferencia entre evaluar una lista de ingredientes por nombre (el manifiesto) y una evaluación completa de los binarios utilizados (técnica conocida como: Advanced Binary Fingerprinting), puede proporcionar resultados muy diferentes.

Y cuando se trata de prácticas de DevSecOps, estos resultados pueden significar la diferencia entre generar código seguro, y por lo tanto aplicaciones seguras y de alta calidad, o tener un incidente grave de seguridad en producción el día de mañana.

Continuar leyendo «Octopus Scanner. Analiza si tu proyecto está afectado»
Publicado el

Prevención del ataque de Inyección de SQL en el adaptador PostgreSQL para Active Record contra el tipo de datos ‘rango’ (Nexus Intelligence Insights: CVE-2014-3483)

sonatype

Los ataques de inyección SQL no son nada nuevo. De hecho, con el creciente aumento de  malos actores y la proliferación de herramientas automatizadas diseñadas para descubrir los componentes que facilitan este vector de ataque, no existe una solución definitiva en el corto plazo para esta vulnerabilidad de SQL. Dada la poderosa naturaleza del lenguaje, el potencial de compromiso es alto y las consecuencias potencialmente graves.

Sigue leyendo