Un amplio estudio realizado por investigadores de la Fundación Linux y el Laboratorio de Ciencia de la Innovación de Harvard ha arrojado nueva información essential sobre el computer software gratuito y de código abierto (FOSS) más utilizado en las empresas, y los posibles riesgos de seguridad relacionados con ese uso.
Los investigadores descubrieron que la falta de un esquema de nombres estandarizado para los componentes de FOSS ha dificultado que las organizaciones y otras partes interesadas identifiquen rápida y precisamente los componentes cuestionables o vulnerables.
También descubrieron que las cuentas que pertenecen a desarrolladores que contribuyen de manera más activa a algunos de los software program de código abierto más ampliamente implementados deben asegurarse mucho mejor. Un tercer hallazgo fue que los paquetes heredados dentro del espacio de código abierto son cada vez más riesgosos, al igual que cualquier otra tecnología de hardware o program anterior.
«Los componentes de FOSS son la base de casi todos los demás softwares disponibles, tanto abiertos como patentados, pero sabemos muy poco sobre cuáles podrían ser los más utilizados y los más vulnerables», dice Frank Nagle, profesor de Harvard Business Faculty y coautor del reporte. «Dado el impacto económico estimado de FOSS, se presta muy poca atención a los esfuerzos sistemáticos para apoyar y mantener esta infraestructura central», dice.
Para el estudio, los investigadores de la Fundación Linux y Harvard analizaron los datos de uso de application empresarial proporcionados, entre otros, por empresas de análisis de composición de software program y empresas de seguridad de aplicaciones como Snyk y el Centro de Investigación de Seguridad Cibernética Synopsys. Al tratar de identificar el application de código abierto más utilizado, los investigadores consideraron todas las dependencias que podrían existir entre un paquete o componente de FOSS y otras aplicaciones y sistemas empresariales.
El objetivo period identificar y medir cuán ampliamente se usa FOSS dentro de los entornos empresariales y comprender la seguridad y otras implicaciones del uso del computer software. Los componentes de software libre constituyen entre el 80% y el 90% de casi cualquier aplicación en uso actualmente dentro de las empresas. Si bien muchos proyectos de computer software libre han recibido un appreciable escrutinio de seguridad, muchos otros no.
Las vulnerabilidades en proyectos ampliamente utilizados con bases de contribuyentes más pequeñas, como OpenSSL, a menudo pueden pasar desapercibidas, dijeron los investigadores en un reporte lanzado esta semana. La fuerte y creciente dependencia de FOSS ha impulsado los esfuerzos de los gobiernos, investigadores y organizaciones para comprender mejor la procedencia y la seguridad del application de código abierto a través de auditorías, programas de recompensas de errores, hackatones y conferencias. «El primer paso es comprender verdaderamente los componentes de FOSS de los que dependen las organizaciones, ya sea a través de escaneos de seguridad regulares y auditorías de código o adoptando una lista de materiales de software package para todos sus productos digitales», dice Nagle.
Principales proyectos y riesgos principales
La investigación conjunta de la Fundación Linux y el Laboratorio de Ciencia de la Innovación en Harvard mostró que los 10 paquetes FOSS más utilizados dentro de las empresas son asíncronos, hereda, isarray, kindof, lodash, minimist, natives, qs, legible-stream y string- descifrador. Los investigadores también identificaron los paquetes no JavaScript más utilizados, que incluyen com.fasterxml.jackson.core: jackson-core, com.fasterxml.jackson.core: Jackson-databind, com.google.guava: guava y commons -código.
Después de identificar los principales proyectos, los investigadores comenzaron a tratar de averiguar quiénes eran los contribuyentes más activos a estos proyectos e identificaron afiliaciones de empresas para aproximadamente el 75% de ellos. Durante el estudio, los investigadores encontraron que siete de los principales proyectos de program de código abierto más utilizados estaban alojados en cuentas de desarrolladores individuales con menos protecciones que las cuentas de organizaciones. «Los cambios en el código bajo el manage de estas cuentas de desarrollador individuales son significativamente más fáciles de hacer y de realizar sin detección», advirtió el informe.
Según los investigadores, los ataques a cuentas de desarrolladores individuales están aumentando, y existe un riesgo creciente de adquisiciones de cuentas y de puertas traseras y otros códigos maliciosos que se instalan en ellos y que luego se pueden usar para acceder al código. «Una opción es que dichas cuentas individuales implementen la autenticación de dos factores si su repositorio lo admite», dice Nagle.
Otro riesgo de haber usado FOSS ampliamente en cuentas individuales son los desarrolladores que podrían decidir eliminar sus cuentas o eliminar el código por disputas y desacuerdos. «Una solución más amplia ya más largo plazo sería que dichos proyectos se trasladen a cuentas organizacionales, en lugar de cuentas individuales, para ayudar a mejorar la responsabilidad y la disponibilidad futura de los proyectos», señala Nagle.
La investigación mostró la necesidad de mejores convenciones de nomenclatura para los componentes de FOSS. Debido a que FOSS se puede modificar y copiar libremente, puede existir en múltiples versiones, tenedores y repositorios con nombres similares, dice Nagle. Para garantizar una mejor seguridad, es importante tener una comprensión común de qué instancia de un componente FOSS se está utilizando y qué tan bien se está apoyando y manteniendo.
Otro descubrimiento realizado por los investigadores fue que los componentes de código abierto heredados más antiguos presentan los mismos riesgos que las versiones anteriores no compatibles de cualquier program o components. Como ejemplo, Nagle señaló la versión .70 del software PuTTY SSH de uso frecuente, que se lanzó en julio de 2017. No se lanzaron actualizaciones para el computer software hasta que se lanzó la versión .71 casi dos años después, en marzo de 2019. «La poca frecuencia de las actualizaciones y el examen (de) un software program tan utilizado puede conducir a problemas de seguridad existentes en la foundation del código durante más de 20 años «, dice.
Contenido relacionado:
Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa
Más thoughts
