• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
Glue Labs

Glue Labs

Trasformiamo le tue idee in prodotti digitali di successo!

  • HOME
  • SOLUZIONI
  • NEWS
  • PRODOTTI
  • CONTATTI
  • CASE STUDY

Come una vulnerabilità di un plugin può compromettere un’intera applicazione: l’esempio di un package NPM

Un bug di sicurezza su un singolo pacchetto può impattare su migliaia di progetti

Per più di 9 anni una grave vulnerabilità all’interno di un package NPM, Netmask, è rimasta nascosta e se opportunamente sfruttata avrebbe potuto permettere ad un hacker di ottenere una Server-Side Request Forgery(SSRF) nelle applicazioni di tipo downstream( per es. Netflix), in sostanza avrebbe potuto ottenere il controllo completo dell’applicazione e dei server. Più di 279.000 progetti open source, in cui Netmask è installato, hanno rischiato grosso.

La particolarità della vulnerabilità

Questa tipologia di vulnerabilità è un grande reminder delle enormi ripercussioni che potrebbe avere un grave bug di sicurezza in un solo componente open source su migliaia di progetti. Normalmente, grazie all’introduzione di metodologie e strumenti di CI/CD, tutti i package vengono automaticamente scaricati ed installati senza alcuna ispezione da parte di alcuno, di fatto esponendo automaticamente l’applicazione ad eventuali problemi di sicurezza.

Seppur questo evento possa generare preoccupazione in chi utilizza pacchetti open source, realmente il problema esiste per chiunque faccia utilizzo di software senza avere la possibilità di ispezionarlo, vale a dire il 99,9% delle persone. Ed allora come difendersi? Gli stati come l’Italia si possono permettere di realizzare un Centro di valutazione e certificazione nazionale (CVCN) per verificare le vulnerabilità di qualsiasi prodotto che debba essere utilizzato nelle infrastrutture strategiche. E le aziende quali possibilità hanno?

Garantire la sicurezza dei dati

Nell’impossibilità di verificare ogni singolo prodotto software che utilizzi, ciò che deve guidarti è il garantire la sicurezza dei dati salvaguardandoli con infrastrutture che implementano ridondanza, alta affidabilità e security by design. Contattaci subito e senza impegno per ottenere un tale infrastruttura.

Garantire la sicurezza dei dati vuol dire anche implementale policy e procedure che ti consentano, in caso di un attacco, di poter affermare e dimostrare di “aver fatto tutto il possibile” perchè è proprio il non aver adottato tali policy e procedure che viene sanzionato, per es. dal Garante della Privacy. Contattaci subito e senza per implementare le policy e procedure corrette.

Dal punto di vista del software, essere continuamente aggiornati rimane un must, ma per evitare di dover “stare dietro” a qualsiasi tool è necessario spostare e migrare servizi tradizionali verso servizi Cloud Native e Serverless così da mitigare e trasferire i rischi. Contattaci subito e senza impegno per migrare su piattaforme Cloud Native e Serverless.

Glue Labs e la sicurezza dei dati

Siamo Google Cloud Partner e ti supportiamo ed assistiamo nel garantire la sicurezza dei dati che gestisci attraverso consulenza professionale ed attività di Ethical Hacking e migrazione su piattaforme Cloud affidabili e sicure. Grazie all’esperienza con numerosi Clienti e ad un solido gruppo aziendale possiamo essere il tuo partner ideale per qualsiasi progetto. Contattaci subito e senza impegno per maggiori informazioni.

Continua la lettura

  1. Come rendere sicuro il software Open Source: il servizio “Assured Open Source Software” di Google
  2. Le 5 best practice per applicare correttamente gli aggiornamenti al Software Open Source: il caso studio Moodle
  3. OpenAM: una soluzione di Access Management di livello enterprise

Categoria: Articoli Tags: cvcn, cybersecurity, ethical hacker, netmask, npm, privacy, serverless, Sicurezza, ssrf

Barra laterale primaria

Cosa facciamo

  • Content Strategy
  • E-Commerce
  • Formazione avanzata Web, Mobile & Cloud
  • IoT – Sviluppo e Integrazione
  • Micro Live Learning(MLL) Web, Mobile & Cloud
  • Project Management Prince2
  • PushAPE
  • Sicurezza ICT
  • Software Aziendali
  • Sviluppo Mobile App
  • Sviluppo, Supporto, Assistenza Tecnica e Hosting Google Cloud
  • System Integration
  • Web Application
  • Web Design

Contatti

Scrivici dal form di contatto

Tel +39 06 56549766
Fax +39 06 21122581
Mail: info@glue-labs.com
Pec: gluelabs@legalmail.it

Dove siamo

Roma: Piazza Don Sturzo 15
Milano: Via Lazzaretto 19
Torino: Via San Domenico 28
Altamura: Via Maggio 1648 24

"*" indica i campi obbligatori

Nome*
Questo sito è protetto da reCAPTCHA e si applicano le Normative sulla Privacy e i Termini di Servizio di Google.
Inviando i tuoi dati accetti le condizioni sulla Privacy. Li useremo per rispondere alle tue domande e richieste.
Consenso*
Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Siamo parte di

La nostra Agenzia di Marketing

Footer

Partnership



Rimaniamo in contatto

Iscriviti alla nostra newsletter

Nome
Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Soluzioni

  • Revisione, validazione, attestazione e Relazione Tecnica su Ricerca & Sviluppo e Innovazione Tecnologica
  • Migrazione da ASP.NET Web Forms e Visual Basic ad Angular Web Application
  • Corso Angular 15
  • Supporto ed Integrazione di SPID e CIE con OpenID Connect
  • Consulenza e Assessment pre-formazione
  • Integrazione con le API di OpenAI e ChatGPT
  • Corso Firebase
  • Corso Cucumber per Javascript
  • Supporto ed Assistenza nell’implementazione ed utilizzo dei Kit di Designers Italia
  • Realizzazione di Tour Virtuali 3D

Articoli

  • Come trasformare una Web Application in una Mobile App: Capacitor di Ionic
  • Moodle per essere compliant con gli obblighi formativi in ambito sicurezza sul lavoro
  • Perchè adottare il modello One Concern(o Application) One Container
  • Perchè utilizzare la WebAR
  • Le 3 ragioni per implementare un chatbot nella tua azienda
  • I 5 fattori che impattano sulla reliability delle applicazioni
  • Le 10 innovazioni che modificheranno i servizi IT nel 2023
  • DevSusOps: sviluppare per la sostenibilità del software e delle architetture IT
  • Cos’è la Communications Platform as a Service(CPaaS) e perchè utilizzarla
  • Le novità di Angular 15

Le nostre sedi

  • Roma, Piazza Don Sturzo 15
  • Milano, Via Lazzaretto 19
  • Torino, Via San Domenico 28
  • Altamura, Via Maggio 1648 24

Contatti

  • Tel. +39 06 87811067
  • Fax +39 06 99335373
  • glue-labs@legalmail.it
  • info@glue-labs.com
  • Facebook
  • LinkedIn
  • Twitter

Scarica app da App StoreScarica app da Play Store


Glue Labs © 2011–2023 | Copyright | Privacy Policy | Company Info | Cookie Policy | Gestione Cookies

Gestisci Consenso Cookie
Usiamo cookie per ottimizzare il nostro sito web ed i nostri servizi.
Funzionale Sempre attivo
La conservazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire la fruizione di uno specifico servizio esplicitamente richiesto dall'abbonato o dall'utente, o al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente a fini statistici anonimi. Senza un mandato di comparizione, il rispetto volontario da parte del tuo provider di servizi Internet o registrazioni aggiuntive da parte di terzi, le informazioni archiviate o recuperate solo per questo scopo non possono essere generalmente utilizzate per identificarti. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
L'archiviazione tecnica o l'accesso è necessario per creare profili utente per inviare pubblicità o per tracciare l'utente su un sito Web o su più siti Web per scopi di marketing simili.
Gestisci opzioni Gestisci servizi Gestisci fornitori Per saperne di più su questi scopi
Gestisci preferenze
{title} {title} {title}