Modelo de desarrollo seguro de Onesait Platform aplicado a la detección de amenazas en dependencias de terceros
Introdución
Como cualquier software, Onesait Platform tiene multiples dependencias de software de terceros, desde librerías utilizadas en tiempo de desarrollo hasta sistemas operativos utilizados en los contenedores a la hora de desplegar. Por lo tanto es vital analizar y actualizar dichas dependencias a medida que se van detectado amenazas de seguridad.
Este documento define el modelo de desarrollo seguro de Onesait Platform aplicado a la resolución de amenazas detectadas en software de terceros utilizado por Onesait Platform.
Detección y corrección de amenzas
El ciclo de vida del desarrollo de Onesait Platform incorpora tareas de revisión de dependencias con las báses de datos de vulnerabilidades conocidas, y de este modo, solucionar los problemas que se detecten. En concreto, se analizan las amenzas publicadas en https://nvd.nist.gov/ .
Para esta tarea de análisis de dependencias y eliminación de las amenazas detectadas se sigue el siguiente proceso:
Onesait Platform sigue la política de liberar una release en cada trimestre del año. La secuencia de este proceso consta de varias actividades:
Al finalizar el segundo mes del trimestre se revisan todas las dependecias de librerías y de software utilizado en las imágenes de contenedores generadas, con el objetivo de identificar potenciales amenazas.
Durante el tercer mes del trimestre se solucionan todas las amenazas de nivel crítico y alto detectadas.
La release al final del trimestre se encontrará libre de cualquier amenaza detectada en el mencionado análisis. Por ejemplo, en el caso de la release release/1.1.0 que se observa en el diagrama, se publicará libre de las amenazas de nivel crítico o alto detectadas en t1.
Además se aplicarán dichas correcciones de seguridad, como un parche, a la release inmediatamente anterior. Siguiendo el ejemplo anterior, la release release/1.0.X (siendo X la minor versión que corresponda en ese momento), incorporará todas las mejoras de seguridad que se incluyan en la release release/1.1.0.
Bases de datos utilizadas
El proceso de análisis de código utiliza la base de datos de amenzas NVD (National Vulnerability Database) del gobierno de Estados Unidos https://nvd.nist.gov/
Para el análisis de las imágenes de los contenedores se utiliza la misma base d edatos NVD https://nvd.nist.gov/ y además la propia de cada distribución del sistema operativo utilizado: Debian, Ubuntu, Alpine, etc.
Casos especiales
Onesait Platform integra muchas tecnologías de terceros que siguen sus propios ciclos de corrección y de publicación de versiones. El compromiso de Onesait Platform de actualizar librerías o componentes con amenenzas de terceros está limitado a la disponibilidad de nuevas versiones que solucionen el problema en dichos componentes. En caso de no estar disponible una versión con la amenaza eliminada, Onesait Platform incorporará mecanismos de mitigación como alternativa hasta que esté disponible una solución definitiva. Si el mecanismo de mitigación implica acciones en la configuración de los depliegues se incorporarán como recomendación las acciones necesarias en la release note.
Cobertura de licencia
Cualquier cliente con la licencia activa tendrá acceso a las nuevas versiones publicadas cada trimestre que incorporarán las correcciones de seguridad en las nuevas releases.
Si un proyecto tiene requisitos más extrictos en cuanto a plazos para la generación de correcciones o necesita parches para versiones antiguas de Onesait Platform, se deberá incluir un acuerdo adicional a la licencia estándar.