Fluid Attacks presentó Makes en Black Hat USA 2022
La nueva herramienta de código abierto permite crear ambientes aislados de aplicaciones y controlar las dependencias de software, apoyando el desarrollo seguro de aplicaciones.
Fluid Attacks dio a conocer que participó en el evento Black Hat USA 2022 demostrando su nueva herramienta de código abierto llamada Makes dentro del espacio Arsenal, en el que desarrolladores e investigadores exponen herramientas novedosas de ciberseguridad.
En general, Makes permite crear ambientes de aplicaciones aislados y seguir la práctica de integración continua y despliegue continuo (CI/CD); es decir, los desarrolladores pueden integrar cambios de código fuente en un repositorio múltiples veces al día y la entrega de estos cambios a los usuarios finales se encuentra automatizada. Además, pueden replicar exactamente todo el CI/CD localmente para probar cambios en su máquina antes de integrarlos al repositorio remoto.
En particular, Makes se presenta como una herramienta para evitar ataques de la cadena de suministro a través de un control estricto de las dependencias de software. Con esta herramienta, los desarrolladores pueden conocer todas las dependencias en uso, y estas son firmadas criptográficamente para garantizar su autenticidad e integridad. Estas medidas de seguridad son extremadamente relevantes, dado que estragos como los de SolarWinds, el año pasado, y Log4j, este año, tuvieron como origen componentes de software maliciosos o vulnerables que perturbaron la cadena de suministro.
A pesar de su enfoque en seguridad, Fluid Attacks resalta otras bondades de Makes para el desarrollo de todo tipo de sistemas: “El objetivo de Makes es proporcionar un entorno de trabajo para construir ambientes CI/CD inmutables, con toda la cadena de suministro conocida y autenticada, manteniendo la implementación técnica lo más sencilla posible. Fue diseñado por desarrolladores que querían reducir la complejidad típica de construir, probar, asegurar y distribuir software. Por eso, aunque la seguridad es una de sus principales preocupaciones, Makes va más allá para ofrecer características como la portabilidad, la velocidad, la simplicidad y la extensibilidad”, explicó Andrés Roldán, socio y Offensive Team Leader de Fluid Attacks.
Black Hat incluyó presentaciones y sesiones de formación práctica y reunió a más de 20.000 personas para discutir investigaciones de seguridad ofensiva.
