Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información

El 21% de las aplicaciones open source serverless tienen vulnerabilidades críticas

  • Cloud

cloud

Los entornos sin servidores se están adoptando rápidamente, pero la seguridad de aplicaciones y soluciones de protección de carga de trabajo tiene que tener otra aproximación.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

La Serverless computing, un modelo de ejecución del cloud computing en el que el proveedor de cloud gestiona de manera dinámica la localización de los recursos de la máquina, está creciendo. AWS Lambda es la oferta de Serverless computing de Amazon Web Service, mientras que la de Azure se llama Functions. Pero de lo que aquí se trata es de seguridad, porque la firma PureSec ha publicado un estudio en el que asegura que el 21% de las serverless applications de código abierto tienen vulnerabilidades de seguridad críticas.

Si el serverless computing permite ejecutar aplicaciones y servicios sin pensar en los servidores, las serverless applications no exigen de las empresas que provienen, escalen o gestionen ningún servidor.

PureSec ha evaluado más de mil proyectos serveless de código abierto y asegura que más del 20% tienen vulnerabilidades de seguridad o errores de configuración que permitirían a un atacante manipular la aplicación y ejecutar acciones maliciosas. Cerca del 6% de los proyectos tiene las credenciales o claves de las API en sus repositorios de código a los que puede accederse públicamente.

Según la auditoría realizada por PureSec, la mayoría de las vulnerabilidades fueron causadas “por prácticas deficientes de desarrollo, falta de educación de seguridad en el modelo serverless y la copia y pegado de código de muestra no seguro en proyectos del mundo real”.

Dice también el informe que la responsabilidad de la seguridad de una infraestructura serverless recae en el proveedor, mientras que el propietario de la aplicación es el responsable de la lógica de la aplicación, el código, los datos y las configuraciones de la capa de aplicación, garantizando que sean seguros, resistentes y capaces de resistir los ataques.

Ory Segal, cofundador y director de tecnología de PureSec asegura que los modelos tradicionales de seguridad de aplicaciones y soluciones de protección de carga de trabajo en la nube no son efectivos para arquitecturas sin servidor, y que “el entorno de tiempo de ejecución de seguridad sin servidor (SSRE) de PureSec fue desarrollado para cumplir con el nuevo desafío de asegurar aplicaciones usando soluciones sin servidor como AWS Lambda”.

TAGS Cloud

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos