Pip-audit es una herramienta desarrollada en colaboración con Google para el escaneo de entornos Python y detección de posibles fallas de seguridad conocidas. Acorde a expertos en ciberseguridad, Pip-audit usa la API JSON de PyPi para la comparación de dependencias según datos de empaquetado Python, además de recurrir a grandes bases de datos CVE, permitiendo a los usuarios auditar las dependencias para un rápido hallazgo de vulnerabilidades.
El análisis de dependencias puede configurarse según las necesidades de los usuarios, ya sea que deseen auditar con paquetes de sistema incluidos o excluidos del análisis, con o sin descripciones CVE, y para un archivo de requisitos determinado. Además, los resultados del análisis incluyen nombres de paquetes, ID de versión, versiones fijas y descripciones CVE.
Este proyecto, lanzado el 1 de diciembre, fue desarrollado por William Woodruff y Alex Cameron, de la firma de ciberseguridad Trail of Bits, en colaboración con el promotor senior de desarrolladores de Google Dustin Ingram.
Acorde a Woodruff, si bien existen múltiples alternativas a Pip-audit, este proyecto fue desarrollado con la idea de evitar cualquier compromiso financiero o de licencia: “Herramientas como Snyk y Safety son grandiosas adiciones al ecosistema de seguridad, aunque ambas requieren un gran nivel de suscripción de paga para funcionar correctamente, algo que no está al alcance de todos los investigadores”.
Los desarrolladores también mencionan que su intención era que su herramienta encajara correctamente en los flujos de trabajo automatizados, lo que facilitaría de gran forma múltiples procesos de investigación. Finalmente, querían que Pip-audit se integrara eventualmente en pip: “Las garantías de soporte de Pip y el diseño de CLI habrían hecho que la adaptación de una herramienta anterior fuera una tarea seria”, explican los desarrolladores.
Finalmente, los desarrolladores expresaron su intención de crear una herramienta de alta calidad que consumiera la información de todas las vulnerabilidades conocidas y agregadas por PyPi, algo que no es desconocido para la industria de la ciberseguridad pero que no está al alcance de todos.
El proyecto Pip-audit es una de las muchas iniciativas de seguridad de código abierto respaldadas por Google. Recientemente, la compañía patrocinó revisiones de seguridad de ocho proyectos de código abierto, además de colaborar con el Instituto Nacional de Estándares y Tecnología (NIST) para la creación de pautas del gobierno federal para la adquisición de software seguro, entre otros ejemplos.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.