Pantheon Security presentó MEDUSA, una herramienta de prueba de seguridad de aplicaciones estáticas (SAST) basada en IA que cuenta con 74 escáneres especializados y más de 180 reglas de seguridad con agentes de IA. Este escáner de código abierto en línea de comandos (CLI) aborda desafíos modernos del desarrollo, como falsos positivos y la cobertura de múltiples lenguajes. MEDUSA unifica el escaneo de seguridad en más de 42 lenguajes y tipos de archivos, incluyendo Python, JavaScript, Go, Rust, Java, Dockerfiles, Terraform, entre otros.
Pantheon Security presentó MEDUSA, una herramienta de Static Application Security Testing (SAST) basada en IA que destaca por sus 74 escáneres especializados y más de 180 reglas de seguridad para agentes de IA.
Este escáner de línea de comandos (CLI) de código abierto aborda desafíos modernos del desarrollo, como los falsos positivos y la cobertura multilingüe.
MEDUSA unifica el escaneo de seguridad en más de 42 lenguajes y tipos de archivo, incluyendo Python, JavaScript, Go, Rust, Java, Dockerfiles, Terraform y manifiestos de Kubernetes.
Los desarrolladores pueden instalarlo mediante pip y ejecutar análisis con un solo comando, lo que permite procesamiento paralelo para lograr velocidades 10-40 veces más rápidas que las herramientas secuenciales. Genera informes en formatos JSON, HTML, Markdown o SARIF para integración con CI/CD.
La versión 2025.9.0 introdujo un filtro inteligente de falsos positivos que reduce el ruido en un 40-60% mediante análisis contextual, como la detección de envoltorios de seguridad y la exclusión de archivos de prueba.
La compatibilidad con entornos sandbox garantiza su ejecución en entornos restringidos, como OpenAI Codex, al retroceder a modo secuencial. La caché inteligente omite archivos sin cambios, acelerando drásticamente los reanálisis.
Capacidades de detección de CVE
MEDUSA sobresale en la identificación de vulnerabilidades de alto impacto y en el escaneo de bloqueos de paquetes para riesgos en la cadena de suministro.
| ID de CVE | Descripción | Puntuación CVSS | Componentes afectados |
|---|---|---|---|
| CVE-2025-55182 | RCE pre-autenticación en React2Shell mediante deserialización del protocolo Flight | 10.0 | React 19.0.0-19.2.0, Next.js 15.0.0-15.0.4 |
| CVE-2025-6514 | SSRF en OAuth de mcp-remote a inyección de comandos RCE | 9.6 | Punto final de autorización de mcp-remote |
Actualizar React a 19.0.1+ y Next.js a 15.0.5+ mitiga la exposición a React2Shell.
La herramienta incluye más de 180 reglas adaptadas para IA agentica, cubriendo riesgos del OWASP LLM Top 10 2025, como inyección de prompts, envenenamiento de herramientas y envenenamiento de RAG.
Los escáneres especializados detectan problemas en archivos como .cursorrules, CLAUDE.md, mcp.json y rag.json. Comandos como medusa scan . --ai-only aíslan configuraciones de IA para auditorías rápidas.
Tú puedes crear un entorno virtual, luego ejecutar pip install medusa-security, seguido de medusa init y medusa install --all para la configuración automática de herramientas mediante winget, Chocolatey o npm en Windows.
Es compatible con Claude Code, Cursor, VS Code, Gemini CLI y GitHub Copilot con comandos de barra como /medusa-scan. La configuración mediante .medusa.yml permite exclusiones y umbrales de fallo.
MEDUSA escanea 145 archivos en 47 segundos con seis trabajadores, manteniendo velocidades consistentes en proyectos pequeños y grandes. Al probarlo en su propio código, no encontró problemas críticos ni altos. Los flujos de trabajo CI/CD se integran sin problemas, fallando las compilaciones ante hallazgos de alta severidad.
Fuentes:
https://cybersecuritynews.com/medusa-security-testing-tool/
No hay comentarios:
Publicar un comentario