Nueve de cada 10 aplicaciones contienen program desactualizado …


Casi todas las aplicaciones usan componentes de código abierto y el 91% united states of america bibliotecas que están desactualizadas o que han sido abandonadas por completo.

El uso de componentes de program de código abierto continúa siendo el estándar para el desarrollo, con aproximadamente siete de cada 10 líneas de código en la aplicación promedio proveniente de un proyecto de código abierto, muestra un nuevo estudio.

De hecho, el programa promedio tiene 445 componentes de código abierto, un aumento del 49% con respecto a los hallazgos del año anterior, y el 91% de las aplicaciones usan al menos un componente que está desactualizado por cuatro o más años o ha sido abandonado, pasando dos o más años sin ninguna actividad de desarrollo, según un nuevo estudio realizado por la firma de gestión de software package Synopsys.

Los datos sugieren que el software package de código abierto continúa siendo una parte crítica del desarrollo, pero también una fuente de riesgo significativo, dice Tim Mackey, estratega de seguridad principal del Centro de Investigación de Seguridad Cibernética de Synopsys.

«El problema es que a menudo hay una desconexión», dice. «Los desarrolladores están tomando decisiones sobre qué traer, y en algún lugar, alguien puede haber escrito una política sobre qué componentes de código abierto se pueden usar, pero es tan engorroso y es un obstáculo para la innovación: la gente está trabajando alrededor.»

Debido a la naturaleza crítica que juegan los componentes de código abierto en los ciclos de desarrollo de software program en casi todas las industrias, la seguridad del software de código abierto es una de las 3 preocupaciones de seguridad más importantes para los equipos de seguridad de aplicaciones, junto con la seguridad de código y la gestión de la configuración e implementación de aplicaciones.

Dar a los desarrolladores la capacidad de integrar herramientas para rastrear componentes de código abierto y su estado de vulnerabilidad es una capacidad necesaria, dice Sandy Carielli, analista principal del grupo de seguridad y riesgo de Forrester Analysis.

«Para el equipo de seguridad, la seguridad de los componentes de código abierto tendrá una prioridad muy alta», dice ella. «Pero hay que asegurarse de no ralentizar el desarrollo y retrasar los lanzamientos. Por lo tanto, encontrar una manera de integrar altamente las herramientas es bueno para el equipo de desarrollo».

El sector de infraestructura de application e Net utiliza la mayoría de las bases de código de código abierto, 83%, seguido por los fabricantes de dispositivos de World-wide-web de las cosas (IoT). Mientras tanto, la industria de telecomunicaciones e inalámbrica utiliza la menor cantidad de componentes de código abierto, 46%, con el sector de fabricación, sistemas de command industrial y robótica utilizando la mitad.

Los componentes de código abierto más populares son jQuery, Bootstrap, Font Amazing y Lodash, el informe encontrado.

Estos componentes de código abierto son tan comunes, que la mayoría de los desarrolladores no piensan dos veces antes de descargarlos, dice Mackey de Synopsys.

«Muchas organizaciones pasarán por &#39oye, es free of charge para descargar, así que voy a descargarlo y usarlo&#39, y no pasa por el proceso de adquisición por el que se examina un producto de computer software comercial normal, » él dice. «Ese proceso de investigación de antecedentes es el mecanismo a través del cual se establecen actualizaciones, declaraciones de fin de vida y canales de comunicación de seguridad con los proveedores».

La mayoría de los componentes tienen vulnerabilidades o incluyen otros componentes de código abierto que tienen vulnerabilidades, según el informe. Tres cuartos de los componentes de código abierto tienen una vulnerabilidad conocida, y la mitad tiene un defecto crítico.

Las licencias también pueden ser un problema importante para las empresas. Si bien muchos desarrolladores consideran que el software de código abierto tiene las mismas consideraciones de uso, el 68% de las bases de código tienen algún tipo de conflicto de licencia, dice Synopsys.

Los desarrolladores deben formar parte de la comunidad de cualquier componente de application importante que usen para asegurarse de conocer cualquier problema que pueda afectar su propia seguridad de software program, dice Mackey.

«Si no se relaciona con la comunidad de desarrolladores detrás de un componente, los principales en los que confía, corre el riesgo de fallar problemas de desarrollo que pueden afectar la seguridad de sus productos», dice. «Si conoce los problemas ahora, puede mitigarlos con relativamente poco esfuerzo, donde si espera hasta el last de la vida, corre el riesgo de una interrupción importante».

El informe de OSSRA se basa en la auditoría de Synopsys de 1.253 aplicaciones y la evaluación standard de la compañía de bases de código de código abierto de 20.000 fuentes.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking through, MIT&#39s Technologies Overview, Well-liked Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia original