Seguridad

Pros y contras del código abierto 2022

Ante los obstáculos económicos y el empeoramiento del problema de las vulnerabilidades del código, 2022 sigue siendo de código abierto y Fundación Linux (si).

Liderazgo y seguridad en la innovación traza el tema de la revisión anual del código abierto de LF. Los colaboradores de los proyectos de LF, así como los proyectos de código abierto en general, constituyen la fuerza de trabajo de ingeniería distribuida más grande del mundo, dijo Jim Zemlin, director ejecutivo de LF.

Mirando hacia atrás en el año se reduce a un factor importante: ¿LF jugó un papel en el impacto global del código abierto a través de la innovación y una mejor seguridad? El informe de 140 páginas es una colección de hechos y ejemplos sobre el rendimiento de las tecnologías de código abierto en todo el mundo, así como numerosos ejemplos de la excelencia de esta organización en expansión.

El resultado fue un gran año para la Fundación en ambos frentes. Presidente de la Junta de LF y de la Oficina de Programación de Código Abierto de Amazon (OSPO).

Riesgo, Vulnerabilidad, Ataque

Otro informe reciente sobre los crecientes riesgos de seguridad puede haber empañado la alta consideración de los funcionarios de LF por el avance y la innovación que ofrece el código abierto. Demasiados errores de código están sacudiendo los cimientos de la confianza y la fiabilidad que son características de los usuarios de código abierto.

empresa de seguridad de aplicaciones de software reparar (anteriormente WhiteSource) publicó su Informe de riesgos de código abierto en diciembre, que revela los riesgos significativos que plantean las vulnerabilidades de código abierto y los continuos aumentos en los ataques a la cadena de suministro de software.

Según el informe, en los primeros nueve meses del año pasado, la cantidad de vulnerabilidades de código abierto descubiertas y añadidas a su base de datos de vulnerabilidades por los investigadores de Mend aumentó en un 33 por ciento en comparación con el año anterior. Esta creciente amenaza es una preocupación creciente ya que las empresas continúan dependiendo en gran medida de las aplicaciones de código abierto.

Resumen del año de crecimiento

La Fundación Linux ahora es líder en estándares abiertos, con más de 200 estándares abiertos en una amplia gama de industrias. La organización agregó 79 proyectos nuevos y envió 52,6 millones de líneas de código cada semana a través de más de 12 000 repositorios.

Los usuarios de código abierto descargaron 12.600 millones de contenedores y vimos un fuerte repunte en la actividad presencial. LF reunió a más de 92.000 personas de 176 países y más de 12.000 organizaciones en 230 eventos oficiales, estableciendo un nuevo récord de asistencia. Al final, realizó más de 29.000 reuniones comunitarias.

Financieramente, LF es más estable que nunca y los ingresos están aumentando. Ninguna firma miembro representa más del 1% de sus ingresos totales. En 2022, estableció un récord de nuevos miembros con más de 3000 organizaciones.

Aspectos destacados y logros del informe anual 2022 de la Fundación Linux

A lo largo del año pasado, The Linux Foundation capacitó y certificó a más de 2,7 millones de personas. Además de los nuevos en Linux, hay aproximadamente 605 000 colaboradores técnicos que trabajan en proyectos LF.

El informe destaca la importancia y popularidad de la formación en seguridad LF. El día del lanzamiento, más de 10 000 personas se inscribieron en un curso gratuito de capacitación en seguridad de código abierto.

Según el salario promedio global de los programadores, los trabajadores de código abierto contribuirán con $ 26 mil millones en tiempo de desarrollador para 2022. Los colaboradores de los proyectos de la Fundación Linux y el código abierto a menudo constituyen la fuerza de trabajo de ingeniería distribuida más grande del mundo.

Enfrentando los retos del futuro

Según el informe de LF, el surgimiento de la ciberseguridad y el nacionalismo tecnológico en el último año continúa planteando desafíos para el crecimiento continuo y la adopción del código abierto. En términos de ciberseguridad, la necesidad de proteger las cadenas de suministro de código abierto y asegurar el código fuente abierto se ha convertido en una preocupación internacional.

El informe LF dedica una gran parte de su contenido a la ciberseguridad y los detalles de la cadena de suministro. Está comprometido a aliviar la gravedad y la urgencia de la comunidad de código abierto este año.Establece algunos objetivos clave que van más allá de los esfuerzos educativos a gran escala.

La organización pasa la mayor parte del año construyendo una comunidad en torno a la tarea urgente de proteger el software de código abierto (OSS) y la sostenibilidad del ecosistema.

Estos esfuerzos implican la colaboración con Open Source Security Foundation (OpenSSF), OpenChain, soporte para Software Package Data Exchange (SPDX), un estándar abierto para comunicar información de lista de materiales de software (SBOM) y otras actividades de ciberseguridad.

LF se ha centrado en tres áreas prioritarias clave durante el último año:

1. Mejorar la seguridad y el ecosistema OSS;
2. Abordar la escasez de talento a través de mejores iniciativas de capacitación y educación, y
3. Comunicar el valor de la apertura y la importancia de la comunidad.

Reportar Negación de Remedio

La investigación de Mend tomó muestras de 1000 empresas de América del Norte y encontró que solo el 13 por ciento de las vulnerabilidades fueron reparadas, en comparación con el 40 por ciento de las empresas que utilizan las mejores prácticas de seguridad de aplicaciones modernas.

El código fuente abierto existe en el 70% al 90% de las aplicaciones en la actualidad. El informe afirma que cada vez más empresas se encuentran vulnerables a medida que los actores de amenazas explotan las vulnerabilidades de remediación.

Los ataques de paquetes maliciosos también van en aumento, según el informe de Mend. Los datos de los productos de seguridad de la empresa mostraron un sólido crecimiento intertrimestral del 79 % desde el segundo trimestre del año pasado hasta el tercer trimestre. Hoy en día, más paquetes contienen telemetría, lo que permite la recopilación de datos, y algunos ahora están integrados en la cadena de suministro, como cuando las cargas útiles tienen dependencias que contienen código malicioso.

“A medida que la deuda de seguridad continúa aumentando, es fundamental encontrar una manera de priorizar las vulnerabilidades de mayor riesgo para evitar ser víctima de un ataque”, dijo Jeffrey Martin, vicepresidente de gestión de productos de Mend.

Las herramientas de remediación para evaluar y priorizar las vulnerabilidades con mayor impacto en el sistema son un factor importante en la gestión de la deuda de seguridad, agregó.

«Sin embargo, las organizaciones no solo deben centrarse en los detalles de gravedad. Para garantizar una priorización y una remediación efectivas, también deben ver el contexto de la explotación de una vulnerabilidad, tanto por sí mismos como con otros».

desafío aparentemente insuperable

La conclusión es que el equipo está inundado con demasiados errores clasificados como críticos.Los equipos carecen de una forma adecuada de priorizar, dice Mark Lambert, vicepresidente de producto del proveedor de seguridad. código de armadura.

Propone que las organizaciones aborden este problema comprendiendo el contexto de las vulnerabilidades y priorizándolas adecuadamente. Por ejemplo, ¿la vulnerabilidad está relacionada con una aplicación crítica para el negocio o orientada a Internet?

Otros factores que aumentan o disminuyen la prioridad de la remediación incluyen si se trata de una vulnerabilidad conocida con un CVE documentado en el catálogo CISA KEV, o si es objeto de conversaciones activas de piratas informáticos sobre la vulnerabilidad o el estado de tendencia en las redes sociales.

«Los actores de amenazas están altamente automatizados, son capaces de ejecutar miles de escenarios contra un objetivo en solo minutos. El riesgo es que las vulnerabilidades verdaderamente críticas se escapen y sean explotadas por actores de amenazas organizados y eficientes», dijo Lambert a LinuxInsider.

La falta de respuesta afecta el éxito de la ciberseguridad

Las vulnerabilidades de código abierto requieren tiempo de equipo para resolverlas por varias razones, agrega Travis Smith, vicepresidente de investigación de amenazas. calidadEl tiempo de permanencia es entre el momento en que se puede parchear la organización y el momento en que se arma la vulnerabilidad.

“Durante esta ventana, estas vulnerabilidades pueden ser explotadas por actores de amenazas. Aquellos expuestos directamente a Internet son los que corren mayor riesgo, pero también lo son otras vulnerabilidades que a menudo se usan con fines de phishing”, dijo Smith a LinuxInsider.

Por lo general, no hay una ruta automática para reparar. Este es un factor clave que reduce el tiempo medio de reparación y las tasas de corrección de errores.

Estos tipos de vulnerabilidades suelen estar integrados en otros programas de software. Descubrir estas vulnerabilidades es más complejo que otras en programas como Windows o Chrome, explicó Smith.

Smith propone un enfoque de dos pasos para este problema. Primero, use productos de vulnerabilidad para comprender dónde se encuentran las vulnerabilidades en su organización. En segundo lugar, comuníquese de manera efectiva entre los equipos de vulnerabilidad y operaciones para garantizar que se implementen parches a tiempo, especialmente para aquellas vulnerabilidades que representan el mayor riesgo para la organización.

LEER  Los ciberdelincuentes ganan miles de millones en el robo de criptomonedas

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba