Seguridad

Código fuente abierto obsoleto rampante en software comercial: informe

Las organizaciones, independientemente de la industria, deben hacer un mejor trabajo al mantener los componentes de código abierto dada su naturaleza crítica en el software, según el informe de análisis de riesgos de este año de la firma de ciberseguridad. sinopsis.

El software de código abierto es ahora la base de la gran mayoría de las aplicaciones en todas las industrias. Pero muchas de esas industrias están luchando para gestionar el riesgo de código abierto.

Synopsys publicó el informe de análisis de riesgo y seguridad de código abierto (OSSRA) de 2021 el 13 de abril. El informe examina los resultados de la auditoría de código abierto, incluidas las tendencias de uso y las mejores prácticas en las aplicaciones comerciales.

Los investigadores analizaron más de 1500 códigos base comerciales y descubrieron que los problemas de seguridad, cumplimiento de licencias y mantenimiento de código abierto son generalizados en todos los sectores de la industria. El informe destaca las tendencias en el uso de código abierto dentro de las aplicaciones comerciales y proporciona información para ayudar a los desarrolladores comerciales y de código abierto a comprender mejor el ecosistema de software interconectado.

Considere que todas las empresas auditadas en el sector de la industria de tecnología de marketing tenían código abierto en sus bases de código. Estos incluyen las principales plataformas de software utilizadas para la generación de clientes potenciales, CRM y redes sociales. El noventa y cinco por ciento de esas bases de código contenían vulnerabilidades de código abierto.

“No es sorprendente que más del 90 por ciento de las bases de código usaban código abierto sin actividad de desarrollo en los últimos dos años”, dijo Tim Mackey, estratega principal de seguridad del Centro de Investigación de Seguridad Cibernética de Synopsys.

Ampliación de los factores de riesgo

El informe de Synopsys detalla los riesgos generalizados que plantea el código fuente abierto no administrado. Estos riesgos van desde vulnerabilidades de seguridad hasta componentes obsoletos o abandonados y problemas de cumplimiento de licencias.

“A diferencia del software comercial, donde los proveedores pueden enviar información a sus usuarios, el código abierto depende de la participación de la comunidad para prosperar. Cuando se adopta un componente de código abierto en una oferta comercial sin ese compromiso, la vitalidad del proyecto puede disminuir fácilmente”, explicó Mackey.

Los proyectos huérfanos no son un problema nuevo. Cuando ocurren, abordar los problemas de seguridad se vuelve mucho más difícil. La solución es simple: invierta en respaldar aquellos proyectos de los que depende para su éxito, agregó.

Las tendencias de riesgo de código abierto identificadas en el informe OSSRA de 2021 revelan que los componentes de código abierto obsoletos en el software comercial son la norma. Un considerable 85 por ciento de las bases de código contenían dependencias de código abierto que tenían más de cuatro años de desactualización.

Una de las conclusiones más importantes del informe de este año fue el crecimiento predominante del código fuente abierto huérfano, según Fred Bals, investigador principal del Centro de Investigación de Ciberseguridad de Synopsys.

“Un alarmante 91 por ciento de las bases de código que auditamos contenían código abierto que no tuvo actividad de desarrollo en los últimos dos años, lo que significa que no hubo mejoras en el código ni correcciones de seguridad”, dijo a LinuxInsider. El código abierto huérfano es un problema significativo y creciente”.

Las diferencias importan

A diferencia de los proyectos abandonados, los componentes de código abierto obsoletos tienen comunidades de desarrolladores activas que publican actualizaciones y parches de seguridad que no están siendo aplicados por sus consumidores comerciales posteriores, según Mackey.

Más allá de las implicaciones de seguridad obvias de no aplicar parches, el uso de componentes de código abierto obsoletos puede contribuir a una deuda técnica difícil de manejar. Esa deuda viene en forma de problemas de funcionalidad y compatibilidad asociados con futuras actualizaciones.

Según los investigadores, la prevalencia de las vulnerabilidades de código abierto va en la dirección equivocada. En 2020, el porcentaje de bases de código que contenían componentes vulnerables de código abierto aumentó al 84 por ciento, un aumento del nueve por ciento desde 2019.

De manera similar, el porcentaje de bases de código que contenían vulnerabilidades de alto riesgo aumentó del 49 al 60 por ciento. Varias de las 10 principales vulnerabilidades de código abierto encontradas en las bases de código en 2019 reaparecieron en las auditorías de 2020 con aumentos porcentuales significativos.

Más del 90 por ciento de las bases de código auditadas contenían componentes de código abierto con conflictos de licencia, licencias personalizadas o ninguna licencia. Otro factor es que el 65 por ciento de las bases de código auditadas en 2020 contenían conflictos de licencia de software de código abierto, que generalmente involucran a la Licencia Pública General GNUsegún el informe.

Al menos el 26 por ciento de las bases de código usaban código abierto sin licencia o con una licencia personalizada. Los tres temas a menudo deben evaluarse en busca de posibles infracciones de propiedad intelectual y otras preocupaciones legales, especialmente en el contexto de transacciones de fusiones y adquisiciones, señalaron los investigadores.

Desgloses sectoriales

Todas las empresas auditadas en la categoría de tecnología de marketing, que incluye generación de clientes potenciales, CRM y redes sociales, contenían código abierto en sus bases de código. Casi todos ellos (95 por ciento) tenían vulnerabilidades de código abierto.

Los investigadores encontraron cifras comparables en las bases de datos auditadas de los sectores minorista, de servicios financieros y de atención médica, según Bals.

En el sector de la salud, el 98 por ciento de las bases de código contenía código abierto. Dentro de esas bases de código, el 67 por ciento contenía vulnerabilidades.

En el sector de servicios financieros/tecnología financiera, el 97 por ciento de las bases de código contenía código abierto. Más del 60 por ciento de esas bases de código contenían vulnerabilidades.

En el sector minorista y de comercio electrónico, el 92 % de las bases de código contenían código abierto y el 71 % de las bases de código contenían vulnerabilidades.

Épocas de cambios

En 2020, el porcentaje de bases de código que contenían vulnerabilidades de alto riesgo aumentó del 49 al 60 por ciento. Lo que fue más preocupante es que varias de las 10 principales vulnerabilidades de código abierto encontradas en las bases de código de 2019 reaparecieron en las auditorías de 2020, todas con aumentos porcentuales significativos, observó Bals.

“Cuando observa los desgloses de la industria, hay una indicación de que el aumento de las vulnerabilidades puede deberse, al menos en parte, a la pandemia y al aumento significativo en el uso de tecnologías de marketing, venta minorista y relación con el cliente”, explicó.

El código abierto es en general seguro, insistió Bals. Es el uso no administrado de código abierto lo que crea el problema.

“Los desarrolladores y las empresas detrás de ellos deben tratar el código abierto que usan de la misma manera que el código que escriben ellos mismos. Eso significa crear y mantener un inventario completo del código abierto que utiliza su software, obtener información precisa sobre la gravedad y la capacidad de explotación de la vulnerabilidad, y tener una dirección clara sobre cómo parchear el código abierto afectado”, dijo.

No hace mucho tiempo, los vendedores comerciales se referían al código abierto como «aceite de serpiente» e incluso como una enfermedad, señaló Bals. Muchas empresas comerciales incluso prohibieron a sus desarrolladores el uso de código abierto.

Felizmente, esos días han terminado. Sería difícil encontrar hoy una aplicación que no dependa del código abierto, respondió.

“Pero la gestión de código abierto aún no se ha puesto al día con el uso de código abierto. Muchos equipos de desarrollo aún usan procesos manuales como hojas de cálculo para rastrear el código abierto. Ahora hay demasiado código abierto para rastrear sin automatizar el proceso”, agregó.

LEER  El movimiento #DeleteFacebook se intensifica

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba