Seguridad de aplicaciones
SCA (Análisis de composición de software)
También conocido como: Seguridad de open source, Escaneo de dependencias
Definición
Análisis automatizado de los componentes open source y de terceros de una aplicación para identificar vulnerabilidades conocidas, problemas de licencia y dependencias obsoletas o de riesgo.
Ejemplos
- Dependabot abriendo pull requests para actualizar paquetes npm vulnerables.
- Ejecutar Snyk Open Source en CI para romper el build ante CVEs Críticas con fix disponible.
Términos relacionados
SAST (Pruebas estáticas de seguridad de aplicaciones)
Análisis automatizado de código fuente, bytecode o binarios —sin ejecutarlo— para detectar debilidades de seguridad como inyección, APIs inseguras o criptografía débil.
DAST (Pruebas dinámicas de seguridad de aplicaciones)
Pruebas de seguridad de caja negra que interactúan con la aplicación en ejecución por red para detectar vulnerabilidades visibles solo en tiempo de ejecución.
CVE (Common Vulnerabilities and Exposures)
Catálogo público que asigna un identificador único a cada vulnerabilidad divulgada para referenciarla de forma inequívoca en todo el sector.
DevSecOps
Cultura y conjunto de prácticas que integra las responsabilidades de seguridad en los flujos DevOps para entregar software seguro de forma continua y rápida.
Ataque a la cadena de suministro
Ataque que compromete a un proveedor de software, hardware o servicios de confianza para llegar a sus clientes finales.
Log4Shell (CVE-2021-44228)
Vulnerabilidad crítica de ejecución remota de código de diciembre de 2021 en Apache Log4j 2, que permitía ejecutar código arbitrario al registrar una sola cadena JNDI.