Documentos de Académico
Documentos de Profesional
Documentos de Cultura
www.ccn-cert.cni.es 2
XI JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es 3
XI JORNADAS STIC CCN-CERT
http://www.zdnet.com/article/its-an-open-source-world-78-percent-of-companies-run-open-source-software/
www.ccn-cert.cni.es 4
XI JORNADAS STIC CCN-CERT
Security Alerts
www.ccn-cert.cni.es 5
XI JORNADAS STIC CCN-CERT
https://www.openssl.org/news/vulnerabilities.html
http://www.cvedetails.com/vulnerability-list/vendor_id-217/Openssl.html
https://ffmpeg.org/security.html
https://www.cvedetails.com/vulnerability-list/vendor_id-3611/Ffmpeg.ht
ml
www.ccn-cert.cni.es 6
XI JORNADAS STIC CCN-CERT
Ejemplos de vulnerabilidades en
código “third party”
www.ccn-cert.cni.es 7
XI JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es 8
XI JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es 9
XI JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es 10
XI JORNADAS STIC CCN-CERT
Recap
www.ccn-cert.cni.es 11
XI JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es 12
XI JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es 13
XI JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es 14
XI JORNADAS STIC CCN-CERT
Estrategia para mitigar los riesgos del uso de código “third party”
www.ccn-cert.cni.es 15
XI JORNADAS STIC CCN-CERT
● Inventario
Policy &
Processes
○ Política de que es (o no) aceptable
○ Proceso de uso de nuevo código “third_party”
■ Seguridad por defecto: fuzzing, sandboxing,
...
● Monitorización CVE
○ Escalabilidad → automatismos
○ SLO
● Concepto de co-responsabilidad
www.ccn-cert.cni.es 16
XI JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es 17
XI JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es 18
XI JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es 19
XI JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es 20
• E-Mails
• info@ccn-cert.cni.es
• ccn@cni.es
• sat-inet@ccn-cert.cni.es
• sat-sara@ccn-cert.cni.es
• organismo.certificacion@cni.es
• Websites
• www.ccn.cni.es
• www.ccn-cert.cni.es
• www.oc.ccn.cni.es
• Síguenos en
www.ccn-cert.cni.es