Las bibliotecas de código abierto sin parche dejan el 71% de las aplicaciones …


Investigadores encuentran que los desarrolladores de PHP y JavaScript deben prestar mucha atención porque los diferentes lenguajes y marcos tienen diferentes tasas de vulnerabilidad

La gestión de las bibliotecas de código abierto plantea un gran desafío para el desarrollo seguro. Esto se debe a que siete de cada 10 aplicaciones usan al menos una biblioteca de código abierto defectuosa, heredando vulnerabilidades que podrían ser explotadas, según un nuevo estudio de más de 81,000 aplicaciones.

La vulnerabilidad de las bibliotecas de código abierto varía según los idiomas y los marcos, y los desarrolladores deben tener en cuenta las características del marco con el que están trabajando, según la firma de seguridad de aplicaciones Veracode, que publicó el análisis. Las aplicaciones PHP, por ejemplo, tienen un número modesto de componentes de código abierto importados, un promedio de 34, pero una mayor proporción de bibliotecas vulnerables. Por otro lado, si bien JavaScript tiene una cantidad relativamente baja de bibliotecas vulnerables, la aplicación típica tiene una gran cantidad de bibliotecas importadas, 377 en promedio, lo que resulta en una gran cantidad de vulnerabilidades, descubrió Veracode.

Los desarrolladores no solo deben centrarse en parchar, sino también en abordar la seguridad de las aplicaciones de una manera adecuada para los marcos con los que están trabajando, dice Chris Eng, director de investigación de Veracode.

«El software de código abierto tiene una sorprendente variedad de defectos», dice. «La superficie de ataque de muchas aplicaciones es mucho mayor de lo que los desarrolladores pueden esperar debido al hecho de que las bibliotecas de código abierto dependen de otras bibliotecas. Los desarrolladores deben ser conscientes de esto y del hecho de que la selección del idioma hace una diferencia en términos del tamaño de las bibliotecas. ecosistema y en la prevalencia de fallas en esos ecosistemas «.

El informe subraya que la falta de parches continúa siendo el problema número 1 para los programas de seguridad de aplicaciones. Existen correcciones para más del 90% de las vulnerabilidades que tienen una prueba de concepto publicada, según El informe de Veracode. La solución de estos problemas es crítica porque los atacantes usan regularmente vulnerabilidades antiguas para atacar sistemas y aplicaciones, dijo la Agencia de Seguridad de Infraestructura y Seguridad Cibernética de EE. UU. En un reciente aviso.

«El computer software de código abierto brinda a las compañías enormes ventajas, pero no hay almuerzo free of charge aquí, y todo el código debe administrarse para evitar que sus propias contribuciones, ya sean de código abierto o de naturaleza cerrada, expongan a sus usuarios a vulnerabilidades», afirmó Veracode en el informe.

En basic, la investigación sugiere que los desarrolladores que conocen las características de seguridad de las bibliotecas de código abierto que admiten su lenguaje y marco particulares tendrán una mayor probabilidad de producir código seguro.

Por ejemplo, un atributo de las bibliotecas de código abierto, conocidas como dependencias transitivas, donde una biblioteca extrae el código de otras bibliotecas, puede hacer que una aplicación se foundation en un código que un desarrollador puede no conocer porque no importó explícitamente la biblioteca. Según Veracode, más del 80% de las aplicaciones escritas en JavaScript, PHP y Ruby importan más de dos tercios de sus bibliotecas a través de esas dependencias transitivas. En el otro extremo del espectro, menos del 10% de las aplicaciones escritas en .Web de Microsoft y Swift de Apple tienen dependencias transitivas. Las aplicaciones Go, Java y Python se extienden a medio camino con una mezcla equilibrada.

El enfoque que cada idioma y sus desarrolladores principales adoptan para las bibliotecas también puede tener un impacto.

Las aplicaciones PHP, por ejemplo, suelen importar un número modesto de bibliotecas, pero obtienen un área de superficie de ataque significativa a través de este método amigo de amigo de importación de componentes, que expone vulnerabilidades que de otra manera los desarrolladores no podrían anticipar. Combinado con el hallazgo de que el 27% de todas las bibliotecas PHP tienen una falla explotable, el marco puede ser una fuente de peligros ocultos para los desarrolladores, dice el Ing. De Veracode.

Las aplicaciones de JavaScript, por otro lado, tienden a importar una gran cantidad de bibliotecas pequeñas, una, por ejemplo, consta de solo cuatro líneas de código, pero relativamente pocas bibliotecas incluyen una vulnerabilidad. Sin embargo, debido a que cada aplicación incluye más de 300 bibliotecas, la probabilidad de incluir uno de los componentes de código abierto vulnerables es alta, dice.

«Más que cualquiera de los lenguajes que hemos visto, JavaScript fomenta la creación y el uso de bibliotecas muy, muy pequeñas que realizan una tarea», dice Eng. «Con JavaScript, PHP y Ruby, los desarrolladores deben asegurarse de que administran las inclusiones transitivas».

Según Veracode, las clases de vulnerabilidad más numerosas no son las que los desarrolladores necesariamente deberían dedicar más tiempo a erradicar. Mientras que el 29% de todos los defectos son vulnerabilidades de secuencias de comandos entre sitios, solo alrededor del 8% de las bibliotecas defectuosas tienen una versión explotable de la vulnerabilidad. Es mucho más probable que otras dos clases de vulnerabilidades del OWASP Prime 10: deserialización insegura y controles de acceso rotos sean explotables, ya que el 30% de las bibliotecas defectuosas tienen una versión explotable de la vulnerabilidad.

Pero la buena noticia para los desarrolladores es que una actualización o parche menor podría reparar más del 90% de las vulnerabilidades con exploits publicados, dice Eng.

«El computer software de código abierto ofrece muchas ventajas, y solo está creciendo desde aquí», dice. «Mi recomendación es que los desarrolladores y sus organizaciones aumenten su conocimiento y capacidad para probar fallas en las bibliotecas que están utilizando en sus aplicaciones. Las soluciones suelen ser menores y pueden tener un gran impacto en la reducción de la exposición».

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Reading, MIT&#39s Technologies Review, Preferred Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia original