El software de código abierto se ha convertido en el objetivo principal de la creciente ola de amenazas de ciberseguridad. A medida que los ataques se vuelven más complejos, la comunidad de código abierto está corriendo para cerrar las brechas de seguridad críticas y detener el código malicioso antes de que se propague.
Para el código de código abierto utilizado en la mayoría de los software comercial, el riesgo de infección es rampante en la mayoría de las industrias. Esto es esencial y peligroso, dice Jason Soroko, un investigador senior en la gestión del ciclo de vida del certificado. Sectigo.
«Debido a que el 86% de las bases de código tienen vulnerabilidades y la cantidad de archivos de código abierto triplicados en cuatro años, las aplicaciones modernas se han agregado a su superficie de ataque sin una supervisión adecuada», dijo a LinuxInsider.
Instó al equipo de seguridad a revisar su estrategia. Los escaneos de embalaje tradicionales pierden más del 20% de las dependencias, revelando puntos ciegos introducidos por prácticas de codificación alternativas y herramientas de IA.
Soroco dijo que varios informes recientes proporcionan más que una simple llamada de atención. Emitieron tareas para la gobernanza activa.
Esfuerzos para abordar las amenazas de código abierto máximo
Patches en tiempo real y la compañía de seguridad de Linux TuxCare 2025 Enterprise Linux e informes de paisaje de código abierto, disponibles como un Descarga gratuita – Con este pronóstico. Ha identificado tres tendencias importantes este año, lo que ha provocado una llamada de atención de expertos en seguridad y usuarios de software en todas las plataformas.
El director de ingresos de TuxCare, Michael Canavan, advirtió que existe una clara diferencia entre las percepciones sobre los niveles de vulnerabilidad y las amenazas reales.
«Muchos otros hallazgos del informe también representan imágenes de espacios de código abierto y empresarial Linux que están experimentando innovaciones e interrupciones continuas y desafíos de seguridad continuos», dijo a LinuxInsider.
El informe de 62 páginas se publicó en febrero y fue seguido por otro estudio que mostró que el código malicioso generalizado ha crecido y se usa fácilmente para cualquier objetivo. También se publicó en febrero, los investigadores de la compañía de seguridad de aplicaciones Apiiro detectaron y analizaron miles de instancias de código malicioso en repositorios y paquetes de software, emergiendo todos los días.
este Informe Matan Giladi, un investigador de seguridad de APIIRO, describió cómo millones de repositorios de Github pueden clonarse e infectarse con cargadores de malware. La confusión es la clave para prevenir la detección de ataque.
«Los métodos de ofuscación evolucionan constantemente. Hay numerosos métodos de ofuscación conocidos, cada uno en múltiples formas, lo que hace que la detección y separación del código benigno sea muy desafiante», dijo a LinuxInsider.
La brecha de percepción destruye la seguridad de Linux
Una de las principales revelaciones en el informe de TuxCare es la desalineación entre las percepciones de los profesionales de la seguridad. Existe una clara desconexión entre las percepciones de los profesionales de la seguridad de los niveles de vulnerabilidad y el panorama de amenazas real.
En comparación con 2023, aproximadamente la mitad de los encuestados creen que la cantidad de vulnerabilidad sigue siendo estable en 2024. Sin embargo, los datos muestran un aumento general del 25%, mientras que la vulnerabilidad específica de Linux aumenta 12 veces. Esta subestimación afecta negativamente las políticas de seguridad, las asignaciones presupuestarias y la planificación de la respuesta a incidentes.
«Las organizaciones tienen que ir más allá del pensamiento reactivo e implementar escaneos de vulnerabilidad continua, integración de inteligencia de amenazas e informes transparentes. No puede asegurarse de que no puede entender exactamente lo que no puede entender. Los datos muestran que demasiados equipos todavía están volando a ciegas», dijo Kanawan.
El informe señaló que la confianza en la seguridad de la cadena de suministro de código abierto ha disminuido significativamente, de 23.81% a 12.31%. Esta disminución puede reflejar una mayor conciencia de los ataques de la cadena de suministro, como el incidente de la puerta trasera XZ, que tuvo una amplia gama de impactos y causó que el 70% de las organizaciones revisen sus procesos de cadena de suministro de código abierto.
Canavan admite que la confianza en la cadena de suministro de código abierto se está erosionando, y eso es correcto. Las organizaciones deben adoptar una mentalidad de confianza cero que tenga prácticas, como la ejecución de la Ley de Materiales de Software (SBOM), las auditorías de dependencia de rutina y la verificación de las fuentes del código fuente.
El código abierto no es un problema; El consumo no verificado y no administrado es. Instó el mismo manejo estricto de la seguridad de la cadena de suministro de software que la infraestructura física.
Más hallazgos clave en los informes de la red de TuxCare
La dependencia de la automatización completa en los procesos de seguridad ha disminuido de 14.48% a 2.56%. Esta tendencia muestra la creciente necesidad de supervisión humana, así como la automatización de una seguridad efectiva.
«La automatización es esencial, pero no puede reemplazar el juicio. Un retiro totalmente automatizado refleja las correcciones necesarias», señaló Canavan.
La experiencia humana es crítica para las prioridades de vulnerabilidad, la verificación de parches y la respuesta a los incidentes. La automatización debe manejar tareas repetitivas y escalables, mientras que los humanos deben manejar tareas ambiguas y estratégicas.
Agregó: «El entorno más resistente es donde ambos trabajan en armonía».
este Crowdstrike El incidente y el descubrimiento de XZ utiliza la parte trasera significativamente crean conciencia sobre los riesgos de la cadena de suministro de software. Crowdstrike Se dice que Las pérdidas directas que podrían llevar a las compañías Fortune 500 a $ 5.4 mil millones, destacando las principales consecuencias financieras de las violaciones de seguridad. El 83.6% de los encuestados se dio cuenta de que XZ sucedió y sus percepciones de seguridad de código abierto sufrieron daños graves.
Las organizaciones están adoptando cada vez más la IA para reducir los costos (del 35% al 53%) en lugar de principalmente para la innovación (rechazada), lo que sugiere madurar la IA como una herramienta comercial práctica centrada en la eficiencia.
«A medida que la adopción de IA cambia de la innovación a rentable, veremos una creciente demanda de herramientas de IA de código abierto livianas y dedicadas que ofrecen una implementación rápida y un ROI medible», predice Canavan.
«Este centro también puede proporcionar contribuciones más específicas para optimizar los recursos informáticos, racionalizar los flujos de trabajo y simplificar los proyectos que se integran en las pilas empresariales existentes».
Nuevas herramientas diseñadas para detectar código malicioso lo antes posible
Hasta ahora, los CISO tienen que pagar grandes tarifas para defenderse de un código malicioso, y las organizaciones generalmente invierten cientos de miles de dólares al año. Apiiro espera que sus dos soluciones estén disponibles en Github, cambiando eso.
El primero, Reglas de Semgrepdetecta la ejecución de código dinámico y los patrones de ofuscación que se encuentran en la mayoría de los eventos de informes maliciosos. Solo incluye reglas con tasas positivas más bajas y tiene una fuerte correlación con el código malicioso. Según Giladi, el conjunto de reglas se integrará con cualquier tubería de CI/CD y se puede detectar en cualquier etapa.
segundo, prevenirpermitiendo el monitoreo en tiempo real de las solicitudes de extracción, las políticas de ejecución y los flujos de trabajo de activación. Esta herramienta se usa junto con SEMGREP.
«Los flujos de trabajo existentes no tienen una cobertura o una cobertura mínima para estos patrones, y aquellos que sí producen una gran cantidad de falsos positivos», dijo Girardi.
Agregó que las herramientas de análisis binario detectan malware en el código compilado y las herramientas de análisis estático escanean vulnerabilidades. Sin embargo, no detecta el código malicioso agregado al código fuente ni su ciclo de vida.
«Los escáneres más cercanos al código malicioso de código abierto, lo que puede ayudar a los investigadores, pero debido a las altas tasas de falsos positivos y la cobertura limitada, no es práctico para las organizaciones».
Reducir las falsas alarmas en la detección de amenazas
La investigación de Apiiro determina que en los códigos benignos, los patrones antimodales identificados son raros. Sin embargo, también encontraron algunas situaciones potenciales que podrían mostrar estos patrones. El enfoque de la compañía minimiza los falsos positivos.
Según Giladi, la mayoría de los falsos positivos provienen de la detección de datos codificados. Ambos son los favoritos de los atacantes y también son un tema que claramente carece de comprensión.
Agregó: «Al acordar que el código debe ser legible y que los datos codificados son ilegibles, muchos desarrolladores confían en prácticas obsoletas. Generalmente, la adhesión a los estándares de codificación establecidos, como las pautas de Google/Microsoft, elimina los positivos del error».
La universalidad del código abierto aumenta los riesgos
Compañías de ciberseguridad publicadas recientemente Pato negroInforme de seguridad de código abierto y análisis de riesgos (OSSRA) – Proporcionar relleno de formulario – Demuestre la amplitud del código de código abierto. Está en todas partes y, a menos que esté completamente identificado y administrado, puede introducir riesgos significativos.
El informe encontró que el 86% de las bases de código comercial evaluadas contienen vulnerabilidades de software de código abierto y el 81% de las vulnerabilidades contienen vulnerabilidades de riesgo altas o críticas. Los datos de Black Duck muestran que el número promedio de archivos de código abierto en aplicaciones varía de más de 5,300 en 2020 a más de 16,000 en 2024.
Otros hallazgos clave incluyen:
- Se descubrió que el 90% de las bases de código de auditoría han sido componentes de código abierto durante más de cuatro años.
- JQuery es una biblioteca JavaScript ampliamente utilizada, la fuente más común de vulnerabilidades, con 8 de las diez principales vulnerabilidades de alto riesgo.
- Solo el 77% de las dependencias pueden ser identificadas mediante un escaneo de administrador de paquetes, lo que sugiere que otros medios, incluido el asistente de codificación de IA, introducen el resto. Estos puntos ciegos pueden conducir a vulnerabilidades no resueltas, componentes obsoletos y conflictos de licencias.
- El 97% de las bases de código evaluadas incluyen código abierto, y se encontraron un promedio de 911 componentes de OSS por aplicación. Desde una perspectiva de la industria, el rango «bajo» desde 100% en hardware de computadora y semiconductores, edtech e sectores de Internet y aplicaciones móviles hasta la gama «baja» de fabricación, industria y robótica es del 79%.
«Los resultados del estudio muestran que la adopción del software de código abierto presenta ampliamente un gran desafío de seguridad. Muchas bases de código comercial muestran una vulnerabilidad peligrosa, lo que indica problemas sistémicos», dijo Eric Schwake, Jefe de Política de Ciberseguridad de la API Security Siren. Seguridad en la sal.
