Las vulnerabilidades en el software de código abierto repuntan
Se ha detectado al menos una vulnerabilidad conocida en el 84% de todas las bases comerciales y patentadas, según un estudio de Synopsys.
En un momento en que casi todo el software contiene código abierto, se ha detectado al menos una vulnerabilidad conocida en el 84% de todas las bases comerciales y patentadas, según Synopsys. Además, el 48% contenían errores de alto riesgo, que son aquellos que se han explotado activamente, ya tiene explotaciones de prueba de concepto documentadas o están clasificadas como vulnerabilidades de ejecución remota de código.
El informe pone de relieve que la cantidad de vulnerabilidades conocidas de open source ha crecido un 4% desde 2021. “El código abierto estaba en casi todo lo que examinamos este año; constituía la mayoría de las bases de código en todas las industrias”, revela el documento. Además, añade que contenían un número preocupantemente alto de vulnerabilidades conocidas que las organizaciones no habían podido parchear.
El porcentaje de código fuente abierto ha aumentado en todas las verticales durante el último lustro. Entre 2018 y 2022, por ejemplo, el porcentaje creció un 163% en tecnología para el sector educativo; un 97% en aeroespacial, aviación, automotriz, transporte y logística; y un 74% en manufactura y robótica.
Mientras, ha habido un aumento en las vulnerabilidades de alto riesgo en todos los sectores. Por ejemplo, las empresas aeroespaciales, de aviación, automotrices, de transporte y de logística registraron un aumento del 232 % en las vulnerabilidades de alto riesgo en el período de 5 años.
“Gran parte del software y el firmware utilizados en estas industrias operan dentro de sistemas cerrados, lo que puede reducir la probabilidad de un exploit y puede conducir a una falta de urgencia en la necesidad de parchearlo”, dijo Synopsys. Las vulnerabilidades de alto riesgo en las bases de código relacionadas con IoT han aumentado un 130 % desde 2018.
“Esto es particularmente preocupante cuando pensamos en la utilidad de los dispositivos IoT; conectamos muchos aspectos de nuestras vidas a estos dispositivos y confiamos en la seguridad inherente al hacerlo”, señalaron los investigadores.
Parches disponibles no aplicados
De las 1481 bases de código examinadas por los investigadores que incluían evaluaciones de riesgo, el 91% contenía versiones desactualizadas de componentes de código abierto, lo que significa que había una actualización o parche disponible pero no se había aplicado.
La razón de esto podría ser que los equipos de desarrollo pueden determinar que el riesgo de consecuencias no deseadas supera cualquier beneficio que se obtenga al aplicar la versión más reciente. Los investigadores dicen que el tiempo y los recursos también podrían ser una razón. “Con muchos equipos que ya están al límite de la creación y prueba de código nuevo, las actualizaciones del software existente pueden convertirse en una prioridad menor, excepto por los problemas más críticos”, dice el informe.
Además, es posible que los equipos de DevSecOps no sepan cuándo hay disponible una versión más nueva de un componente de código abierto, si es que conocen el componente, según el informe.
Los SBOM ayudan a mantener la calidad del código y el cumplimiento
Para evitar la explotación de vulnerabilidades y mantener actualizado el código fuente abierto, las organizaciones deben utilizar una lista de materiales de software (SBOM), sugiere el informe. Un SBOM completo enumera todos los componentes de código abierto en las aplicaciones, así como las licencias, las versiones y el estado de los parches. Y, un SBOM de componentes de código abierto permite a las organizaciones identificar rápidamente los componentes en riesgo y priorizar la remediación de manera adecuada, agregó el informe.
