Análisis de vulnerabilidades en dependencias de NPM, PIP y Composer

Curso de DevOps con GitLab

Contenido del curso

Introducción

Administración

Planificación

Verificación

Empaquetación

Seguridad

Distribución

Monitoreo

Conclusiones

53
Automatización en desarrollo con DevOps y GitLab
02:29 min

Tomar examen

Análisis de vulnerabilidades en dependencias de NPM, PIP y Composer

Resumen

La seguridad en dependencias de NPM, PIP y Composer define la salud de tu software. Integrar análisis de dependencias en GitLab y decidir con criterio ante vulnerabilidades te ahorra incidentes graves. Aquí entenderás por qué las dependencias son frágiles, cómo usar el Dependency Scanning y qué hacer ante paquetes maliciosos.

¿Por qué las dependencias son un punto crítico de seguridad?

Las dependencias concentran riesgos porque son código que no escribiste, difícil de auditar a detalle y con funcionamiento interno desconocido. Esto no te hace mal desarrollador: aplica el principio de encapsulación, pero exige control y monitoreo.

¿Qué riesgos introducen paquetes de NPM, PIP y Composer?

Inclusión de vulnerabilidades sin detectar por auditorías manuales.
Presencia de paquetes maliciosos que parecen legítimos.
Exfiltración de datos si el paquete accede a variables de entorno.
Dependencias de desarrollo menos críticas que las de producción, pero igual deben evaluarse.

¿Cómo afecta el principio de encapsulación?

Permite reutilizar código sin conocer su interior.
Aumenta dependencia de terceros: por eso automatiza la verificación de vulnerabilidades.
Evita “whitelistar” manualmente paquete por paquete: mejor usa escaneo sistemático.

¿Por qué las variables de ambiente son objetivo?

Contienen llaves de bases de datos y API keys.
Si un paquete es malicioso, puede enviar estas variables al atacante en producción.
Caso narrado: una librería “legítima” estilo Mark Improved o Mark 2 copió funcionalidades y envió variables de ambiente al autor malicioso, detectado por tráfico saliente inusual.

¿Cómo aplicar dependency scanning en GitLab sin fricción?

El análisis de dependencias funciona como el análisis estático de código: se ejecuta la misma imagen de análisis sobre tu código y sobre todas las dependencias. En GitLab, usa el patrón modular para incluir Dependency Scanning en tu pipeline.

¿Qué muestra el widget de seguridad en un merge request?

Hallazgos de vulnerabilidades en dependencias directamente en el merge request.
Información en contexto para decidir antes de fusionar.
Visibilidad centralizada en el widget de seguridad al pulsar “Expandir”.

¿Qué patrón modular reutilizar?

Incluye la plantilla de Dependency Scanning en tu configuración de CI.
Fragmento citado:

include template Dependency Scanning gitlabci.yaml

Esto habilita el escaneo automático en cada cambio: decisiones informadas sin esfuerzo extra.

¿Cómo identificar paquetes maliciosos?

Observa solicitudes salientes inesperadas desde servidores.
Revisa hallazgos del widget de seguridad.
Si una librería “popular” cambia de nombre o surge una “mejora” sospechosa, verifica su comportamiento.

¿Qué decisiones tomar ante vulnerabilidades en paquetes?

Las vulnerabilidades requieren decisiones claras respaldadas por severidad, impacto y entorno. No todas exigen bloquear el merge; prioriza según riesgo real.

¿Cuándo corregir, reemplazar o aceptar el riesgo?

Corregir: si la severidad es alta o afecta producción.
Reemplazar la dependencia: si el paquete acumula fallos o no se actualiza.
Aceptar el riesgo: si la vulnerabilidad es baja y con mitigaciones claras.

¿Cómo evaluar si es de desarrollo o producción?

Desarrollo: impacto menor en tiempo de ejecución, evalúa caso por caso.
Producción: exige acción inmediata si hay exposición de datos o ejecución en tiempo real.

¿Qué enseña el caso de NCU o NPM Check Updates?

Ejemplo directo: al escanear NCU o NPM Check Updates se hallaron más de setenta vulnerabilidades.
Decisión efectiva: cambiar a otra librería con el mismo comportamiento pero sin vulnerabilidades.

Comparte en los comentarios tus experiencias con vulnerabilidades en dependencias: ayuda a crear conciencia y mejorar la seguridad colectiva.

Carlos Alberto Gutiérrez Vasquez

Estudiante

Module

module name: morgan **version: **1.9.0 npm page: https://www.npmjs.com/package/morgan

Module Description HTTP request logger middleware for node.js

Named after Dexter, a show you should not watch until completion.

Module Stats 1,120,329 downloads in the last week

Vulnerability

Vulnerability Description

An attacker can use the format parameter to inject arbitrary commands

Steps To Reproduce:

The basic attack vector looks like this:

var morgan = require('morgan');
//payload delivered through a prototype pollution attack
Object.prototype[':method :url :status :res[content-length] - :response-time ms'] = '25 \\" + console.log(\'hello!\'); +  //:method :url :status :res[content-length] - :response-time ms';
//benign looking usage of morgan that can be exploited due to the prototype pollution attack
var f = morgan(':method :url :status :res[content-length] - :response-time ms');
f({}, {}, function () {
});

Eval and it's variants like Function() should almost neve be used in such popular packages.

Patch

N/A remove the usage of Function().

Wrap up

I contacted the maintainer to let them know: N I opened an issue in the related repository: N Impact

If combined with a prototype pollution attack this vulnerability is very serious (RCE). Otherwise, it is very unlikely that the attacker can control the vulnerable format parameter, but not impossible to think.

Análisis de vulnerabilidades en dependencias de NPM, PIP y Composer

Introducción

DevOps con GitLab para automatizar entregas de software

Qué es DevOps y cómo integra desarrollo con operaciones

DevOps como ciclo iterativo continuo: etapas y beneficios clave

GitLab como plataforma integral para el ciclo de vida DevOps

Diferencias clave entre GitLab y GitHub para desarrolladores

Administración

Configuración de autenticación segura en GitLab

Grupos y subgrupos de GitLab para organizar proyectos y permisos

Gestión de permisos y colaboradores en GitLab

Rastros de auditoría en GitLab para administración segura

Creación y configuración de proyectos en GitLab

Planificación

Diferencias entre Agile y Waterfall en desarrollo de software

Creación y gestión de issues en GitLab para colaboración eficaz

Etiquetas para organizar issues en GitLab

Planificación en Gitlab-Pesos

Creación y gestión de milestones en GitLab para sprints y releases

Boards en GitLab para visualizar flujos de trabajo con issues

Service Desk de GitLab para soporte por correo electrónico

Planificación en Gitlab-Quick actions

Verificación

Inicialización de Angular con GitLab y test-driven development

Merge requests y control de calidad en GitLab

Flujo completo de merge requests en GitLab

Automatización de flujos de trabajo con GitLab CI

GitLab CI: configuración, stages y variables para automatización

Configuración de GitLab CI para proyectos Angular

Validación de archivos GitLab CI con linter antes del pipeline

gitlab-ci.yml

Configuración de GitLab Pages para hosting estático con CI

Configuración de GitLab Pages para deploy automático de Angular

Desarrollo ágil y sus doce principios fundamentales

GitLab AutoDevOps: pipelines automatizados con seguridad y calidad

Configuración de GitLab Auto DevOps con Kubernetes en Google Cloud

Configuración de Auto DevOps en GitLab con Kubernetes

Empaquetación

Integración de GitLab Container Registry con Auto DevOps

Introducción a contenedores

Seguridad

DevSecOps: integración de seguridad en el ciclo de desarrollo

Autenticación de commits con llaves PGP en GitLab

Pruebas estáticas de seguridad en GitLab para detectar vulnerabilidades

Análisis de contenedores con GitLab y Clair para detectar vulnerabilidades