
Los componentes de código abierto obsoletos u obsoletos están presentes en casi todo el software comercial, lo que pone a las aplicaciones empresariales y de consumo en riesgo de problemas de seguridad, violaciones de cumplimiento de licencias y amenazas operativas, según Informe de análisis de riesgo y seguridad de código abierto de Synopsis 2020 Publicado el martes.
sinopsis Los investigadores analizaron más de 1250 códigos base comerciales. El Centro de Investigación de Ciberseguridad de Synopsys (CyRC) examinó las auditorías de código base realizadas por el equipo de Servicios de Auditoría de Black Duck.
El informe destaca tendencias y patrones en el uso de código abierto en aplicaciones comerciales. Proporciona información y recomendaciones para ayudar a las organizaciones a gestionar mejor sus riesgos de software.
El informe OSSRA 2020 reafirma el papel fundamental que desempeña el código abierto en el ecosistema de software actual.
Synopsys descubrió que el 99 % de las bases de código auditadas el año pasado contenían al menos un componente de código abierto. El código abierto representa el 70% de todo el código.
El informe destaca el uso generalizado continuo de componentes de código abierto antiguos u obsoletos que están desactualizados durante más de cuatro años o que no han visto ninguna actividad de desarrollo en los últimos dos años.
«Es difícil ignorar el papel vital que juega el código abierto en el desarrollo y la implementación de software moderno, pero es fácil pasar por alto cómo afecta el perfil de riesgo de su aplicación desde una perspectiva de seguridad y cumplimiento de licencias», dijo Tim Mackey, estratega jefe de seguridad de Synopsys. Centro de Investigación de Seguridad Cibernética.
Le dijo a LinuxInsider que el informe OSSRA 2020 destaca cómo las organizaciones están luchando para rastrear y administrar de manera efectiva sus riesgos de código abierto. La lucha implica mantener un inventario preciso de componentes de software de terceros y dependencias de código abierto.
«Mantenerse actualizado es un punto de partida fundamental para abordar el riesgo de aplicaciones de múltiples capas», dijo.
hallazgos principales
Según Synopsys, la tendencia más preocupante en el análisis de este año es el creciente riesgo de seguridad que plantea el código abierto no administrado. Las auditorías de código muestran que el 75 % del código base contiene componentes de código abierto con vulnerabilidades de seguridad conocidas.
Esa cifra es superior al 60 por ciento del informe del año pasado. Asimismo, el 49% del código base contiene vulnerabilidades de alto riesgo en comparación con el 40%.
El aumento en la adopción del código abierto ha incrementado las advertencias sobre el código fuente abierto no administrado en el software comercial.
Según el informe Syopsys de este año, el 99 % de las bases de código contienen al menos algo de código fuente abierto, con un promedio de 445 componentes de código abierto por base de código. Este es un aumento significativo de los 298 componentes de código abierto descubiertos en 2018. El 70 % del código auditado se identificó como código abierto, un aumento del 60 % en 2018 y casi el doble del 36 % en 2015.
cambio de hora
En comparación con el análisis del año pasado, el informe de este año reveló algunos desarrollos inesperados, mostrando resultados mixtos, dijo McKee.
“Estamos viendo cambios en las tendencias generales de seguridad, pero también evidencia de que los procesos de gobierno no se mantienen al día con el aumento del uso”, dijo.
La buena noticia es que esta es la primera vez que la auditoría no encuentra una vulnerabilidad HeartBleed en los datos subyacentes. Esto sugiere que, si bien la cola larga permanece, los esfuerzos de refactorización o simplemente crear conciencia sobre las vulnerabilidades de alto impacto están dando sus frutos.
En el lado de las malas noticias, el aumento de vulnerabilidades sin parches a medida que aumenta el uso de código abierto ilustra la dependencia de los procesos manuales. Mackey explicó que esto sucedió en un momento en que aumentaron las divulgaciones de vulnerabilidades debido a permisos de informes adicionales.
El resultado final es que las empresas sin una solución automatizada para filtrar CVE que no se les pueden aplicar se ven obligadas a probar divulgaciones que posiblemente no se puedan explotar debido a la composición de la aplicación o del sistema.
Tendencia de riesgo
Las tendencias de riesgo de código abierto más notables identificadas a través de auditorías de código se resumen a continuación:
- El 91 % del código base contiene componentes que tienen más de cuatro años de antigüedad o no han tenido actividad de desarrollo en los últimos dos años.
- Además de la mayor probabilidad de tener vulnerabilidades de seguridad, el riesgo de usar componentes de código abierto desactualizados es que actualizarlos también introduce problemas de funcionalidad o compatibilidad no deseados.
- El uso de componentes vulnerables de código abierto está nuevamente en aumento. En 2019, el porcentaje de bases de código que contenían componentes vulnerables de código abierto aumentó al 75 % después de caer del 78 % al 60 % entre 2017 y 2018.
- Asimismo, el porcentaje de bases de código que contienen vulnerabilidades de alto riesgo saltó del 40 % en 2018 al 49 % en 2019.
- Ninguna de las bases de código auditadas en 2019 se vio afectada por el infame error Heartbleed o la falla de Apache Struts que afectó a Equifax en 2017.
Amenazas a la propiedad intelectual, licencias
El informe dice que el uso intensivo y continuo de componentes de código abierto no administrados también pone en riesgo la propiedad intelectual. Aunque el software de código abierto tiene la reputación de ser gratuito, al igual que el código comercial, también se rige por una licencia.
Los investigadores encontraron que el 68 por ciento del código base contenía algún tipo de conflicto de licencia de código abierto. El 33 % contiene componentes de código abierto sin una licencia identificable.
Las brechas de seguridad son una gran preocupación, concluyó el informe. Casi la mitad del código base contiene vulnerabilidades de alto riesgo.
Alrededor del 73 % de estas vulnerabilidades exponen a los propietarios de la base de código a posibles problemas legales. Las licencias de los componentes de código abierto parecen entrar en conflicto con la licencia general del código base o no tienen ninguna licencia.
La prevalencia de los conflictos de licencias varía según la industria, según el informe.
Estos conflictos variaron desde el 93 % más alto para Internet y aplicaciones móviles hasta el 59 % más bajo para aplicaciones de realidad virtual, juegos, entretenimiento y medios.
Sobre el informe
Esta es la quinta edición del Informe de análisis de riesgo y seguridad de código abierto de Synopsys. Proporciona una instantánea detallada del estado actual de los riesgos de seguridad, cumplimiento y calidad del código de código abierto en el software comercial.
Los resultados se basan en datos anónimos revisados en 2019 por el equipo de servicios de auditoría de código abierto de Synopsys. A los efectos de esta auditoría de código, Synopsys define una base de código como el código fuente y las bibliotecas que subyacen a una aplicación, servicio o biblioteca.
Los investigadores definen el software administrado como la información de origen, edad, licencia y versión de los componentes de software que se identifican y rastrean. Los investigadores también observaron las actualizaciones y los parches de seguridad que se aplicaron o que faltaban.
Destacados del informe
El informe OSSRA de 2020 concluye que las organizaciones deben mantener mejor los componentes de código abierto. Ese código es una parte crítica del software que construyen o usan.
«Seguimos recomendando que las empresas inviertan en automatización para crear un inventario preciso, pero la verdadera historia es la del proceso», dijo McKee. «Los equipos de desarrollo, TI corporativos y legales corporativos deben definir los procesos de uso de código abierto».
Ya no se recomienda descargar un componente, paquete o solución de código abierto y simplemente usarlo. Si esa descarga no se administra correctamente, expone a las empresas a los mismos desafíos de gobernanza que cualquier software comercial, agregó.
La principal diferencia es que no existe una entidad comercial en la que los abogados puedan confiar para resolver problemas. El parche debe provenir de la comunidad de código abierto que admite el componente o de un equipo de desarrollo local que, idealmente, enviará su solución a la comunidad.
«De cualquier manera, si la participación de la comunidad no es parte del proceso, se vuelve más difícil mantener un estado compatible con el parche», dijo McKee.
¿Peor o mejor seguridad?
Según Mackey, el informe OSSRA no considera la seguridad general del software de fuente abierta. En cambio, analiza la gestión cuando se usa en un entorno comercial.
«Habiendo dicho eso, realizamos un análisis más profundo de algunas de las vulnerabilidades destacadas encontradas en el conjunto de datos para comprender mejor cuáles eran los riesgos principales», aclaró.
La seguridad del software de código abierto presenta nuevos desafíos. Según el CTO Thomas Hatch, es muy común, casi universal, que el software propietario incluya software de código abierto. pila de sal.
«También es importante recordar que las versiones de software de código abierto contenidas en el software propietario pueden no divulgarse de manera confiable o en absoluto. El seguimiento de esto es casi imposible», dijo a LinuxInsider.
El argumento original de que el software de código abierto es más seguro es que muchos ojos pueden conducir a más soluciones. Sin embargo, Hatch observa que esta afirmación no parece explicar la expansión moderna de pequeños proyectos de código abierto.
«Con tanto código fuente abierto hoy en día, la auditoría es cada vez más difícil. Yo diría que la situación de seguridad para el software de fuente abierta es peor este año que el año pasado», dijo.
Si bien los principales proyectos están mejorando, el crecimiento en el panorama general supera con creces las capacidades de seguimiento. Hatch dijo que el informe era muy útil, pero que sería aún más poderoso como proyecto de descubrimiento en curso.
útil no es en vano
Mackey asegura que este tipo de informes se emiten año tras año con un propósito genuinamente correctivo.
Explicó que cuando la empresa comenzó a producir el informe OSSRA hace cinco años, los líderes empresariales desconocían el impacto de la actividad de código abierto en sus operaciones generales.
Este es el telón de fondo de muchos exploits de alto perfil de vulnerabilidades de código abierto. Cinco años después, la complejidad de los requisitos reglamentarios ha aumentado con el crecimiento del código abierto.
El informe OSSRA se basa en aplicaciones comerciales obtenidas en fusiones y adquisiciones. Los datos fundamentales brindan una perspectiva sobre el código abierto que no se puede obtener a partir de encuestas simples de equipos de desarrollo u otras recopilaciones de datos livianas, dijo Mackey.
Requisitos de seguridad de DevOps
El informe OSSRA 2020 de Synopsys proporciona un buen indicador de las tendencias de alto nivel, según el CTO Ali Golshan. pilaroxSin embargo, las empresas deberían considerar más en sus decisiones, especialmente aquellas relacionadas con la seguridad de código abierto.
«Los problemas de riesgo relacionados con el código abierto se están volviendo más activos a medida que la combinación de prácticas DevOps y soluciones de código abierto conduce a un despliegue más amplio de tecnologías nativas de la nube», dijo a LinuxInsider.
Golshan señaló que la superficie de ataque general ha cambiado significativamente en el espacio nativo de la nube, alejándose de las vulnerabilidades tradicionales y los ataques en tiempo de ejecución para centrarse en la superficie de ataque más grande expuesta a lo largo del proceso de construcción.
El uso de tecnologías nativas de la nube con componentes de código abierto puede ser beneficioso desde el punto de vista operativo, pero desafiante desde el punto de vista de la seguridad, advierte. «Los informes como Synopsys deben considerarse un buen recordatorio para observar más de cerca cómo asegurar el proceso de compilación».