An SBOM demuestra lo que instalaste. No puede demostrar que debiste haberlo hecho.
Un SBOM es un recibo. Te dice qué instalaste. No te dice si hiciste bien en instalarlo.
La mayoría de los equipos utilizan un SBOM y escaneos de CVE en sus pipelines de CI/CD. Estas herramientas son excelentes para encontrar vulnerabilidades conocidas en paquetes existentes. Pero tienen un punto ciego masivo cuando se utilizan agentes de codificación con IA.
Un agente de IA propone un nombre de paquete. Lo hace con la misma confianza, ya sea que el nombre sea real, una alucinación o un typosquat.
Si un atacante registró un nombre de paquete malicioso ayer, aún no tiene un CVE. Tu escaneo post-instalación lo verá y lo marcará como limpio. El escaneo es honesto, pero respondió a la pregunta equivocada. Respondió "¿se sabe que esto es malo?" en lugar de "¿debería existir este nombre en nuestro stack?".
Para cuando un SBOM registra un paquete malicioso, el daño ya está hecho. El código malicioso a menudo se ejecuta durante la fase de instalación a través de scripts de postinstalación. Puede robar tus variables de entorno y secretos de CI antes de que tu escáner siquiera vea el árbol de archivos.
Necesitas un veredicto antes del efecto secundario.
He creado una herramienta sencilla para resolver esto. Es una puerta de control de procedencia pre-instalación. Funciona de forma diferente a un escáner:
• Comprueba los nombres ANTES de que se ejecute npm install. • Utiliza un enfoque de denegación por defecto (default-deny) frente a una línea base avalada. • Identifica typosquats midiendo la distancia de edición respecto a paquetes populares. • Detecta alucinaciones que no coinciden con ningún nombre conocido como seguro. • Verifica tu .npmrc para asegurar que no estés accediendo a un registro malicioso.
Esta herramienta funciona sin conexión, sin claves y utiliza únicamente la biblioteca estándar de Python. No se conecta a la red. No resuelve paquetes. Simplemente observa los nombres propuestos y pregunta: "¿Avalamos este nombre?".
Si el nombre no está en tu instantánea avalada ni en una línea base popular, la puerta devuelve DENY.
Deja de confiar únicamente en registros de lo que ya sucedió. Empieza a decidir qué está permitido que suceda.
Fuente: https://dev.to/alex_spinov/an-sbom-proves-what-you-installed-it-cant-prove-you-should-have-117c
Comunidad de aprendizaje opcional: https://t.me/GyaanSetuAi
