Seguridad

El código abierto debe ir acompañado de un plan de seguridad

Se descubrió que los desarrolladores de código abierto aparentemente no seguían las mejores prácticas, como el uso de análisis estáticos y la realización de auditorías de seguridad periódicas. cubierta Informe destacado publicado el miércoles.

Coverity Scan, un servicio gratuito para proyectos de código abierto, ayudó a los desarrolladores a descubrir y corregir aproximadamente 50.000 fallos de calidad y seguridad en su código el año pasado.

Esta cifra se puede atribuir en parte a la mejora continua, que permite a los usuarios descubrir defectos no detectados previamente. Además, a medida que el proyecto madura, los desarrolladores pueden centrarse en eliminar nuevos defectos. Otro factor es que el número de usuarios que se registran en el servicio Coverity se ha cuadriplicado desde 2012, dijo Zach Samocha, director senior de producto de Coverity.

Coverity agregó su asesor de seguridad al servicio de escaneo Coverity en junio y encontró casi 4.000 fallas. Security Advisor incluye sofisticados algoritmos de análisis para ayudar a los desarrolladores a descubrir y solucionar problemas críticos de seguridad de las aplicaciones web.

De los 4.000 hallazgos, casi 2.400 fueron defectos de alta gravedad, 1.330 fueron defectos de baja gravedad y los 260 restantes fueron defectos de gravedad media.

Ayudar a los desarrolladores de código abierto a ayudarse a sí mismos

Sólo este año ha habido varias vulnerabilidades de código abierto muy publicitadas, incluidas Heartbleed y shock de guerra.

Debido a la implementación generalizada de software de código abierto, estos dos fallos afectan a un gran número de usuarios.

«Esperamos ver más proyectos de código abierto unirse [Coverity Scan] servicios e incorporar el descubrimiento y reparación de defectos en sus procesos estándar», dijo Samocha a TechNewsWorld. Más de 3.000 proyectos de código abierto se han apuntado al servicio, pero «hay más».

Samocha dijo que Security Advisor puede encontrar defectos de calidad en código C#, Java, C y C++, y también puede encontrar defectos de seguridad en Java, C y C++.

Desde junio, los consultores de seguridad han identificado 688 Top 10 de OWASP Preguntas sobre 37 proyectos de código abierto, incluidos proyectos de big data, gestión de redes y servidores de blogs.

Hubo 210 referencias de objetos directos inseguros; 139 secuencias de comandos entre sitios y falsificación de solicitudes entre sitios; y 135 inyecciones de código, incluidas inyecciones de SQL. La autenticación y la gestión de sesiones rotas provocaron 43 problemas, una mala configuración de la seguridad en 10 problemas, la exposición de datos confidenciales en 8 problemas y la falta de control de acceso a nivel funcional en 4 problemas.


Los consultores de seguridad han estado disponibles para los clientes comerciales de forma remunerada durante muchos años.

¿Quién se llevará el código a casa esta noche?

Se cree ampliamente que los desarrolladores de código abierto escribir código en su propio tiempo es un acto altruista, lo que plantea la cuestión de cómo encuentran el tiempo y la energía para incorporar las mejores prácticas de seguridad en su codificación.

«Hay algunos desarrolladores increíbles que pasan sus tardes y fines de semana desarrollando cosas geniales, pero… muy pocos de ellos tienen la capacidad de pasar días o semanas trabajando en problemas y solucionando errores», dijo el director de tecnología, Robert Coleridge. Salida, dijo a TechNewsWorld. «No veo ninguna manera de resolver este problema a nivel de artistas hambrientos».

Este es el motivo del error Heartbleed, que es un resultado relativamente pequeño. Error de codificación, sin descubrir. Los desarrolladores del proyecto OpenSSL que lo crearon eran voluntarios a tiempo parcial con trabajos de tiempo completo y el proyecto carecía de los fondos y la mano de obra para revisar el código. Fundación OpenSSL El presidente Steve Marquis dijo anteriormente a TechNewsWorld.

Estos no son voluntarios, son profesionales.

Sin embargo, son las empresas que utilizan software de código abierto las que deben rendir cuentas, no los desarrolladores independientes.

Más de 370 organizaciones informaron sobre violaciones de código abierto confirmadas o sospechadas en los últimos 12 meses. tipo sona encuesta realizada a principios de este año.

«Gran parte del software de código abierto está financiado por corporaciones, no sólo por los Red Hats del mundo, por lo que a la gente se le paga por hacer estas cosas», dijo el vicepresidente ejecutivo John Viega. cielo plateado.

«Ésta es realmente una cuestión económica», dijo a TechNewsWorld.¿Cuál es el valor del esfuerzo adicional, especialmente cuando el valor relativo de la seguridad no es alto para el cliente final? [versus] ¿Característica especial? «

Las organizaciones deben asegurarse de realizar un seguimiento de las vulnerabilidades de seguridad en los componentes de código abierto que utilizan durante todo el ciclo de vida de sus productos, Kyle Kennedy, CTO. Tecnologías Cryptobit, Inc., dijo a TechNewsWorld. “Visibilidad de los componentes de código abierto [used in enterprise software projects] Crítico para la evaluación de riesgos y el cumplimiento normativo. «


LEER  Habilidades de red laxas, puntos ciegos de desarrollo detrás de fallas de seguridad de aplicaciones organizacionales

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba