Las vulnerabilidades en proyectos populares de código abierto se duplicaron en 2019


Un estudio que analizó los 54 principales proyectos de código abierto descubrió que las vulnerabilidades de seguridad en estas herramientas se duplicaron en 2019, pasando de 421 errores reportados en 2018 a 968 el año pasado.

Según el informe «La realidad oscura del código abierto» de RiskSense, publicado hoy, la compañía encontró 2,694 errores reportados en proyectos populares de código abierto entre 2015 y marzo de 2020.

El informe no incluyó proyectos como Linux, WordPress, Drupal y otras herramientas gratuitas súper populares, ya que estos proyectos a menudo se supervisan y los errores de seguridad son noticia, lo que garantiza que la mayoría de estos problemas de seguridad se reparen con bastante rapidez.

En cambio, RiskSense analizó otros proyectos populares de código abierto que no son tan conocidos pero que la comunidad de tecnología y application adopta ampliamente. Esto incluyó herramientas como Jenkins, MongoDB, Elasticsearch, Chef, GitLab, Spark, Puppet y otros.

RiskSense dice que uno de los principales problemas que encontraron durante su estudio fue que una gran cantidad de los errores de seguridad que analizaron habían sido reportados a la Base Nacional de Datos de Vulnerabilidad (NVD) muchas semanas después de haber sido divulgados públicamente.

La compañía dijo que, por lo normal, demoraba alrededor de 54 días para que los errores encontrados en estos 54 proyectos se informaran al NVD, con PostgreSQL viendo retrasos en los informes que ascendieron a ocho meses.

risksense-delays.png

Imagen: RiskSense

Dado que las compañías de software package de ciberseguridad y TI utilizan la base de datos NVD para crear y enviar alertas de seguridad, los retrasos en la presentación de informes dieron lugar a situaciones en las que las compañías permanecieron expuestas y abiertas a ataques.

También permitió a los actores de amenazas crear y desplegar exploits, lo que resultó en la «armamentización» de un error de seguridad.

RiskSense dice que de todos los 54 proyectos que analizó, el servidor de automatización Jenkins y el servidor de foundation de datos MySQL tuvieron las vulnerabilidades más armadas desde 2015, ambos con 15.

risksense-delays-top-exploited.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/06/06/2f13fb62-c26a-4724-a8a3-5492356d5d5c/risksense-delays-top-exploited .png

Imagen: RiskSense

«Sin embargo, un gran número de CVE no necesariamente se traduce en cantidades igualmente grandes de vulnerabilidades armadas», dijo RiskSense.

Mientras que otros proyectos de código abierto tenían menos errores, esos errores a veces eran más fáciles de armar, como el caso del software package de virtualización Vagrant y el sistema de gestión de contenido Alfresco.

risksense-delays-top-exploited-percent.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/06/06/b8b11166-9c4c-4ef8-93e9-5cf7fbc7a2d9/risksense-delays-top -exploited-percent.png

Imagen: RiskSense

Dado que los proyectos de código abierto ahora forman parte de aproximadamente el 99% de todos los proyectos de software program comercial, RiskSense argumenta que ahora se necesitan mejoras en la forma en que se manejan las vulnerabilidades de seguridad dentro de los proyectos de código abierto, pero también en la industria en general.

Esto es más importante que nunca ahora porque «los proyectos de código abierto están generando nuevas vulnerabilidades a un ritmo históricamente rápido».



Enlace a la noticia primary