Westbayberry ha lanzado una nueva herramienta gratuita llamada Dependency Gate (dg) para mejorar la seguridad de las cadenas de suministro de npm. La herramienta, disponible de forma permanente sin necesidad de tarjeta de crédito, analiza el comportamiento de las dependencias de los paquetes npm antes de que se incorporen al código principal, asignando una puntuación de riesgo y generando informes de comportamiento. Esto busca mitigar riesgos que los sistemas tradicionales de detección de vulnerabilidades (CVE) podrían pasar por alto, especialmente en ataques de día cero.
La necesidad de esta herramienta surge de incidentes pasados donde actualizaciones de dependencias no revisadas llegaron a producción sin generar alertas, evidenciando la falta de procesos de control y auditoría. Dependency Gate integra 26 detectores de comportamiento para analizar scripts de instalación, llamadas de red y acceso a credenciales, entre otros aspectos. Ofrece configuraciones personalizables (umbrales, listas blancas) y un registro completo de auditoría, compatible con diversas plataformas de integración continua como GitHub Actions, GitLab CI y Jenkins. La herramienta ha demostrado una precisión del 99.95% y un F1 score del 99.7% en pruebas con más de 11,000 paquetes reales. El código fuente de la aplicación permanece privado y existe una opción de auto-hospedaje para entornos empresariales.