Software
Ciberseguridad
Código
Open source

El riesgo en el software de código abierto persiste

Las empresas aún luchan por ganar confianza en la seguridad de sus proyectos de código abierto, y colocar la seguridad antes en el proceso de desarrollo parece prometedor.

open source

El software de código abierto (OSS, de sus siglas inglesas) se ha convertido en el pilar de la mayoría de aplicaciones, pero también ha creado desafíos de seguridad para desarrolladores y especialistas. Estos retos pueden superarse con el creciente movimiento denominado ‘desplazamiento a la izquierda’, según varios informes. El problema es que más del 40% de los expertos no tiene la suficiente confianza en el open source, según la investigación de Snyk y The Linux Foundation publicada en el estudio El estado de la seguridad de código abierto. Este documento también señala que el tiempo medio para corregir vulnerabilidades en este tipo de proyectos ha aumentado constantemente durante los últimos tres años; de 49 días en 2018 a 110 en 2021.

 

El gran debate, productividad frente a seguridad

Asimismo, el informe pone de manifiesto que el proyecto de desarrollo de aplicaciones tiene 49 vulnerabilidades de media y 80 dependencias de las llamadas fuentes abiertas. Además, menos de la mitad de las empresas (49%) tiene una política de seguridad para el desarrollo o uso de OSS.

“Los desarrolladores de software tienen hoy sus propias cadenas de suministro”, explica Matt Jarvis, director de relaciones con los desarrolladores de Snyk. “Si bien esto lleva a una mayor productividad e innovación, también ha creado importantes problemas de seguridad”.

 

El giro de seguridad a la izquierda

Otra encuesta de AppSec sugiere que se puede lograr una mejor seguridad de OSS moviéndola a la izquierda, es decir, situándola más cerca del comienzo de ciclo de vida del desarrollo del software. El estudio encuentra que el 76% de las nuevas vulnerabilidades se pueden solucionar rápidamente. “Cada cambio en el código que hace un desarrollador se escanea en una media de 90 segundos”, dicel el CEO y cofundador de ShiftLeft, Manish Gupta. “Debido a que el código aún está fresco en la mente de un desarrollador, es más fácil para ellos corregir los fallos”.

Asimismo, el informe también pone de manifiesto que las mejoras en el software no son la única razón para mejorar los tiempos de escaneo. “Vimos disminuir el tamaño medio en las aplicaciones en términos de líneas de código. Esto se alinea con más organizaciones que se mueven hacia microservicios y aplicaciones más pequeñas y modulares”.

 

Exploración mejorada de vulnerabilidades

Los clientes de ShiftLeft también vieron una disminución en la cantidad de vulnerabilidades de OSS que necesitan abordar en sus aplicaciones en un 97% porque los cibercriminales solo podían explotar el 3%. Cuando se analizan los errores de OSS, indica Gupta, no se trata de cuántas vulnerabilidades tiene una aplicación, sino de dónde se pueden explotar.

La empresa también informó de que sus clientes mejoraron el tiempo medio necesario para mitigar las vulnerabilidades en un 37%, de 19 días en 2021 a 12 en este año. Atribuyó la disminución a que los desarrolladores y los equipos de seguridad realizaron más escaneos antes en el proceso de desarrollo. “Algunos de nuestros clientes realizan hasta 30.000 escaneos al mes”.

 

¿Es realmente explotable la vulnerabilidad?

El informe plantea la pregunta: “¿Un atacante puede realmente acceder a la vulnerabilidad?” Esto es importante cuando se abordan los fallos zero day como Log4J, que algunas organizaciones todavía están enfrentando meses después de su descubrimiento en diciembre de 2021. Dice que el 96% de Log4J en uso en las aplicaciones de sus clientes no estaba en riesgo de ataque. Remediar las vulnerabilidades que no son explotables tendrá un impacto cero en el riesgo.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper