Comprende le vulnerabilità relative agli aggiornamenti del software e alle pipeline CI/CD senza verificarne l'integrità.
Le vulnerabilità relative all’integrità del software e dei dati possono riguardare sia i software che le infrastrutture. Un esempio è dato dal caso in cui un'applicazione si affidi a plugin, librerie o moduli provenienti da fonti, repository e reti di distribuzione dei contenuti (CDN) non attendibili.
Una pipeline CI/CD non sicura può potenzialmente causare un accesso non autorizzato, injection di codice malevolo o compromissione del sistema.
OWASP Top 10 Application Security Risks - 2021 | Riferimento |
---|---|
A08:2021 – Software and Data Integrity Failures | OWASP |
Molte applicazioni includono funzionalità di aggiornamento automatico, in cui gli aggiornamenti vengono scaricati senza una sufficiente verifica dell'integrità e applicati all'applicazione precedentemente fidata. Gli attaccanti potrebbero potenzialmente caricare i propri aggiornamenti da distribuire ed eseguire su tutte le installazioni.Francesco Ongaro