Asesoramiento conjunto sobre la exploración de la seguridad de la memoria en proyectos críticos de código abierto
El Centro Canadiense de Seguridad Cibernética (Cyber Centre) se ha unido a la Agencia de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro Australiano de Seguridad Cibernética (ACSC) para publicar una guía de seguridad cibernética sobre la seguridad de la memoria en proyectos críticos de código abierto.
Este informe conjunto es un producto de seguimiento de la guía publicada anteriormente sobre hojas de ruta para la seguridad de la memoriaLa nueva guía se basa en la idea de que las vulnerabilidades de seguridad de la memoria son la clase más frecuente de vulnerabilidad del software. Esta nueva guía recomienda que los fabricantes de software creen planes de seguridad de la memoria, incluidos planes para abordar la seguridad de la memoria en dependencias externas. Estos suelen incluir software de código abierto (OSS).
El informe conjunto proporciona un punto de partida para las hojas de ruta de seguridad de la memoria al investigar la escala del riesgo de seguridad de la memoria en OSS seleccionados.
La mayoría de los proyectos críticos de código abierto analizados para este informe eran potencialmente vulnerables a vulnerabilidades de seguridad de memoria, incluso aquellos escritos en lenguajes seguros para la memoria. Estas vulnerabilidades se deben al uso directo de lenguajes no seguros para la memoria, a la dependencia externa de proyectos que hacen lo mismo o a requisitos funcionales de bajo nivel para desactivar la seguridad de memoria. Para abordar estas vulnerabilidades se requiere el uso de lenguajes de programación seguros para la memoria, prácticas de codificación seguras y pruebas de seguridad.
Se recomienda que se realicen más esfuerzos para comprender el alcance de los riesgos de seguridad de la memoria en el software de código abierto. Se deben seguir debatiendo los mejores enfoques para gestionar estos riesgos.
Lea el aviso de orientación conjunto:
Explorando la seguridad de la memoria en proyectos críticos de código abierto