Comprende las vulnerabilidades relacionadas con las actualizaciones de software y las canalizaciones CI/CD sin verificar su integridad.
Las vulnerabilidades relacionadas con la integridad del software y los datos pueden afectar tanto al software como a las infraestructuras. Un ejemplo es el caso en que una aplicación depende de plugins, bibliotecas o módulos provenientes de fuentes, repositorios y redes de distribución de contenido (CDN) no confiables.
Una canalización CI/CD no segura puede potencialmente causar acceso no autorizado, inyección de código malicioso o compromiso del sistema.
| OWASP Top 10 Application Security Risks - 2021 | Referencia |
|---|---|
| A08:2021 – Fallos de Integridad de Software y Datos | OWASP |
Muchas aplicaciones incluyen funcionalidades de actualización automática, donde las actualizaciones se descargan sin una verificación suficiente de la integridad y se aplican a la aplicación previamente confiable. Los atacantes podrían potencialmente cargar sus propias actualizaciones para distribuir y ejecutar en todas las instalaciones.Francesco Ongaro