Ah, estudié una carrera relacionada con computación, me gradué en febrero de este año y todavía no tengo trabajo. ¡He usado Linux desde 2015, incluso antes de empezar a estudiar desarrollo!
Bueno, al final no se menciona directamente en este artículo, pero parece que Apple terminó admitiendo que fracasó su estrategia de construir internamente, dentro del ecosistema de Apple, el entorno de IA al nivel que quería... (después del Apple Car también). Da la sensación de que, si se hubieran adelantado unos 2 años, la historia podría haber sido distinta.
Gracias por los materiales detallados y el resumen. Al principio pensé que era algo similar a las Capabilities de Linux, pero entonces es un enfoque que incluso incluye análisis dinámico.
Le pedí a Gemini que me lo explicara. Yo tampoco estoy a cargo de seguridad, así que no lo sé bien.
[Reporte en profundidad: la tecnología de seguridad de próxima generación "Capability Analysis" en la que se están enfocando PyPI y OpenSSF]
A medida que los ataques a la cadena de suministro que amenazan al ecosistema open source se vuelven más sofisticados, PyPI (Python Package Index) y OpenSSF (Open Source Security Foundation) están acelerando la adopción de "Capability Analysis" (análisis de capacidades/funcionalidades), yendo más allá de los métodos tradicionales de detección por coincidencia de patrones.
La clave de esta tecnología es ver a través de lo que un paquete "finge ser" y enfocarse en "lo que realmente puede hacer".
¿Qué es Capability Analysis (análisis de capacidades)?
Si el antivirus tradicional funcionaba comparando una "lista de personas buscadas" (firmas conocidas de malware), Capability Analysis verifica la "capacidad de comportamiento" del paquete.
Por más que se disfrace como una utilidad legítima, para tomar control del sistema o robar información necesariamente tiene que usar ciertos recursos del sistema operativo (red, archivos, procesos). Esta técnica de análisis rastrea si el paquete, al ejecutar código, ejerce las siguientes "capacidades" sensibles:
Red (Network): ¿el script de instalación intenta enviar datos en secreto (exfiltration) a una IP externa o iniciar comunicaciones?
Sistema de archivos (FileSystem): ¿intenta acceder o modificar archivos sensibles como claves SSH, credenciales de AWS o /etc/passwd?
Ejecución de procesos (Execution): ¿ejecuta comandos de shell o crea subprocesos generando código dinámicamente (eval, exec)?
Uso real y herramientas de seguridad clave estimadas
Actualmente, en proyectos de OpenSSF y grupos de investigación en seguridad se están desarrollando y aplicando en sus pipelines herramientas como las siguientes para realizar este análisis.
A. OpenSSF Package Analysis (proyecto oficial)
- Resumen: es un proyecto liderado por OpenSSF que instala y ejecuta realmente paquetes subidos a PyPI o NPM dentro de un entorno sandbox aislado.
- Cómo funciona: intercepta a nivel de kernel las system calls que ocurren cuando el paquete se ejecuta, y recopila datos de comportamiento como "este paquete intentó conectarse a 192.168.x.x durante la instalación".
- Stack tecnológico: usa herramientas como gVisor (sandbox) y Strace (trazado de system calls).
B. Packj
- Resumen: es una herramienta desarrollada a partir de investigaciones académicas (como las de Georgia Tech), especializada en etiquetar "risky capabilities" de los paquetes.
- Cómo funciona: combina análisis estático y dinámico. Busca llamadas a APIs sensibles dentro del código fuente y analiza los metadatos del paquete para determinar si es un "paquete abandonado" o si hay "typosquatting" (suplantación por nombre parecido).
- Característica: detecta combinaciones anómalas de permisos como "este paquete es una librería de audio, pero tiene funciones de comunicación en red y acceso a contactos".
C. GuardDog
- Resumen: es una herramienta CLI publicada por Datadog que usa Semgrep (motor de análisis estático) para encontrar patrones maliciosos.
- Cómo funciona: identifica patrones de código (heuristics) donde se implementan "funciones maliciosas", como código ofuscado oculto, scripts de minado o descargadores de ejecutables.
D. Falco y Sysdig
- Resumen: son herramientas de seguridad en tiempo de ejecución para entornos cloud native.
- Rol: se usan como motores para detectar en tiempo real comportamientos anómalos dentro de contenedores cuando se ejecuta un paquete (por ejemplo, acceso inesperado a shell o lectura de archivos sensibles).
Materiales y enlaces de referencia relacionados
Para una comprensión más profunda de esta tecnología, puedes consultar los proyectos originales y blogs siguientes.
Creo que probablemente descargan el paquete y revisan qué hace el código ejecutándolo y descomprimiéndolo, o haciendo análisis estático y dinámico. Como el malware suele propagarse de esa manera.
"A veces pienso si haber elegido el desarrollo de software fue una mala decisión
Incluso al volverte senior, igual te exigen seguir estudiando y hacer proyectos paralelos
No sé cuándo podré tener hobbies o vida social"
Creo que una fe ciega absoluta es tan equivocada como una desconfianza obstinada.
Lo importante es usarla considerando bien sus ventajas y desventajas; crear simplemente un ambiente de FOMO me parece una táctica comercial de las empresas de IA.
Está buenísimo. Es un texto que deberían leer todos, desde juniors hasta seniors.
Creo que desde el año pasado hasta el próximo vamos a vivir el mayor punto de inflexión en la ingeniería de software.
Si aquí se te pasa el cambio de época, podrías quedarte muy atrás.
Como no sabía cuál era la causa, estaba bastante preocupado y simplemente descargué una versión antigua para usarla, pero qué bueno que hayan identificado la causa :)
Me ayudó mucho 👍👍
¿Qué tal si separan un equipo dedicado solo para juegos? Yo casi no juego, así que no lo hago, pero quienes sí juegan casi siempre lo hacen así.
Ah, estudié una carrera relacionada con computación, me gradué en febrero de este año y todavía no tengo trabajo. ¡He usado Linux desde 2015, incluso antes de empezar a estudiar desarrollo!
Parece que también influyó bastante si podían construir y ofrecer la infraestructura que Apple quiere.
Bueno, al final no se menciona directamente en este artículo, pero parece que Apple terminó admitiendo que fracasó su estrategia de construir internamente, dentro del ecosistema de Apple, el entorno de IA al nivel que quería... (después del Apple Car también). Da la sensación de que, si se hubieran adelantado unos 2 años, la historia podría haber sido distinta.
Siri...
Soy un mocoso.
Gracias por los materiales detallados y el resumen. Al principio pensé que era algo similar a las Capabilities de Linux, pero entonces es un enfoque que incluso incluye análisis dinámico.
Qué emoción..
Le pedí a Gemini que me lo explicara. Yo tampoco estoy a cargo de seguridad, así que no lo sé bien.
[Reporte en profundidad: la tecnología de seguridad de próxima generación "Capability Analysis" en la que se están enfocando PyPI y OpenSSF]
A medida que los ataques a la cadena de suministro que amenazan al ecosistema open source se vuelven más sofisticados, PyPI (Python Package Index) y OpenSSF (Open Source Security Foundation) están acelerando la adopción de "Capability Analysis" (análisis de capacidades/funcionalidades), yendo más allá de los métodos tradicionales de detección por coincidencia de patrones.
La clave de esta tecnología es ver a través de lo que un paquete "finge ser" y enfocarse en "lo que realmente puede hacer".
Si el antivirus tradicional funcionaba comparando una "lista de personas buscadas" (firmas conocidas de malware), Capability Analysis verifica la "capacidad de comportamiento" del paquete.
Por más que se disfrace como una utilidad legítima, para tomar control del sistema o robar información necesariamente tiene que usar ciertos recursos del sistema operativo (red, archivos, procesos). Esta técnica de análisis rastrea si el paquete, al ejecutar código, ejerce las siguientes "capacidades" sensibles:
/etc/passwd?eval,exec)?Actualmente, en proyectos de OpenSSF y grupos de investigación en seguridad se están desarrollando y aplicando en sus pipelines herramientas como las siguientes para realizar este análisis.
A. OpenSSF Package Analysis (proyecto oficial)
- Resumen: es un proyecto liderado por OpenSSF que instala y ejecuta realmente paquetes subidos a PyPI o NPM dentro de un entorno sandbox aislado.
- Cómo funciona: intercepta a nivel de kernel las system calls que ocurren cuando el paquete se ejecuta, y recopila datos de comportamiento como "este paquete intentó conectarse a 192.168.x.x durante la instalación".
- Stack tecnológico: usa herramientas como gVisor (sandbox) y Strace (trazado de system calls).
B. Packj
- Resumen: es una herramienta desarrollada a partir de investigaciones académicas (como las de Georgia Tech), especializada en etiquetar "risky capabilities" de los paquetes.
- Cómo funciona: combina análisis estático y dinámico. Busca llamadas a APIs sensibles dentro del código fuente y analiza los metadatos del paquete para determinar si es un "paquete abandonado" o si hay "typosquatting" (suplantación por nombre parecido).
- Característica: detecta combinaciones anómalas de permisos como "este paquete es una librería de audio, pero tiene funciones de comunicación en red y acceso a contactos".
C. GuardDog
- Resumen: es una herramienta CLI publicada por Datadog que usa Semgrep (motor de análisis estático) para encontrar patrones maliciosos.
- Cómo funciona: identifica patrones de código (heuristics) donde se implementan "funciones maliciosas", como código ofuscado oculto, scripts de minado o descargadores de ejecutables.
D. Falco y Sysdig
- Resumen: son herramientas de seguridad en tiempo de ejecución para entornos cloud native.
- Rol: se usan como motores para detectar en tiempo real comportamientos anómalos dentro de contenedores cuando se ejecuta un paquete (por ejemplo, acceso inesperado a shell o lectura de archivos sensibles).
Para una comprensión más profunda de esta tecnología, puedes consultar los proyectos originales y blogs siguientes.
Blog oficial de OpenSSF Package Analysis (presentación y explicación del funcionamiento)
https://openssf.org/blog/2022/…
GitHub de OpenSSF Package Analysis (código fuente y arquitectura)
https://github.com/ossf/package-analysis
GitHub de Packj (descarga de la herramienta y funciones detalladas)
https://github.com/ossillate-inc/packj
GitHub de GuardDog (herramienta de Datadog para detectar paquetes maliciosos en PyPI/NPM)
https://github.com/DataDog/guarddog
Reporte de seguridad de PyPI (proceso de reporte y gestión de paquetes maliciosos)
https://pypi.org/security/
Creo que probablemente descargan el paquete y revisan qué hace el código ejecutándolo y descomprimiéndolo, o haciendo análisis estático y dinámico. Como el malware suele propagarse de esa manera.
Yo también a veces pienso lo mismo. No tiene fin.
"A veces pienso si haber elegido el desarrollo de software fue una mala decisión
Incluso al volverte senior, igual te exigen seguir estudiando y hacer proyectos paralelos
No sé cuándo podré tener hobbies o vida social"
puntos en común de skills..
Yo me cambié a Starship.
Se menciona mucho Tailscale. La verdad es que no encontré una alternativa realmente adecuada..
Creo que una fe ciega absoluta es tan equivocada como una desconfianza obstinada.
Lo importante es usarla considerando bien sus ventajas y desventajas; crear simplemente un ambiente de FOMO me parece una táctica comercial de las empresas de IA.
Si ahora mismo no estás logrando incorporar suficientemente la IA a tu trabajo, hasta tener FOMO parece razonable.
Ups, me faltó un
/;_;. Ya lo corregí.Está buenísimo. Es un texto que deberían leer todos, desde juniors hasta seniors.
Creo que desde el año pasado hasta el próximo vamos a vivir el mayor punto de inflexión en la ingeniería de software.
Si aquí se te pasa el cambio de época, podrías quedarte muy atrás.
Como no sabía cuál era la causa, estaba bastante preocupado y simplemente descargué una versión antigua para usarla, pero qué bueno que hayan identificado la causa :)
https://github.com/kaniini/capsudo