Las calificaciones para proyectos de código abierto tienen como objetivo …


Dos compañías se han unido para calificar los proyectos de código abierto, pero ¿la adopción de calificaciones de repositorio puede ayudar a los desarrolladores a tomar mejores decisiones con respecto al código abierto?

La mayoría de los desarrolladores eligen un proyecto de código abierto basado en una combinación de qué tan bien el software program se adapta a la tarea en cuestión, si los desarrolladores del proyecto están activos y si el proyecto tiene una buena reputación. Sin embargo, con las vulnerabilidades en los componentes de código abierto como un problema de seguridad clave para los equipos de software, es necesario encontrar mejores métricas para informar las opciones, según los fabricantes de herramientas de software package.

El 27 de julio, dos compañías, la firma de gestión de proyectos de código abierto Snyk y la firma de servicios de desarrollo xs: code, anunciaron que se unieron para proporcionar un complemento de navegador que proporcionará a los desarrolladores métricas importantes para medir la seguridad de los proyectos de código abierto. La herramienta, Insights, muestra métricas, como un puntaje de salud y la cantidad de vulnerabilidades que se sabe que hay en el componente, a los desarrolladores, así como una medida de la actividad de desarrollo del proyecto.

El objetivo es proporcionar información a los desarrolladores antes de que se comprometan a usar un proyecto, dice Chen Ravid, cofundador y jefe de producto de xs: code.

«La seguridad es un problema tan grande en este momento, y las empresas son cada vez más conscientes de que el código abierto puede ser problemático debido a problemas de seguridad», dice. «Y no hay una responsabilidad clara por los problemas de seguridad en los productos de código abierto: los mantenedores no siempre están muy centrados en la seguridad».

El lanzamiento de la herramienta se produce a medida que se advierte cada vez más a los desarrolladores sobre el potencial de vulnerabilidades que socavan la seguridad de su software.

El program moderno se basa en componentes de código abierto. El programa promedio tiene 445 componentes de código abierto y más del 90% del application united states componentes de código abierto que están desactualizados (es decir, no actualizados en los últimos cuatro años) o abandonados, según un estudio reciente realizado por la firma de seguridad de software package Synopsis. Según otro estudio, alrededor del 10% de los defectos de software package encontrados en los proyectos más específicos se han convertido en ataques.

Muchas vulnerabilidades ocurren en dependencias de software package de terceros (código incluido en tiempo de compilación por un responsable del proyecto) y continúan impactando el software, dijo la firma de seguridad de software Snyk en su informe «Estado de la seguridad de código abierto».

«El número complete de vulnerabilidades reportadas en todos los ecosistemas aumentó en 2019 después de haber mostrado una disminución en 2018», afirmó la compañía. «Para agravar esa preocupación, una vez más en 2019, la mayoría de las vulnerabilidades identificadas se consideraron de alta gravedad».

El problema es que la seguridad no es generalmente un component clave en la decisión del equipo de desarrollo promedio de usar un proyecto de código abierto en el propio software de una empresa, según una encuesta de noviembre de 2019 por Tidelift y The New Stack. Ochenta y seis por ciento de los desarrolladores mencionaron el volumen de la actividad de desarrollo y el acuerdo de licencia correcto como al menos «algo importante» en la decisión de dar luz verde al uso de un proyecto de código abierto. Solo el 63% consideró el número de vulnerabilidades reveladas en un proyecto como uno de sus principales factores.

La misma encuesta encontró que las métricas más importantes para evaluar proyectos de código abierto fueron el número de días desde la última actividad (74%) y si una fuente confiable recomendó el proyecto (61%).

Xs: el código tiene como objetivo cambiar esto mediante la incorporación de datos de la evaluación de Snyk de proyectos de código abierto en un complemento de navegador para que sea accesible para los desarrolladores. El servicio de análisis de repositorio permite a los desarrolladores ver vulnerabilidades comunes del repositorio, un puntaje por su seguridad y qué tipo de licencia utiliza el repositorio.

La compañía, que proporciona un servicio para permitir que los desarrolladores de código abierto reciban un pago por su trabajo, no incluye las calificaciones como una forma de medir el progreso de los desarrolladores, pero eso podría ser una característica potencial en el futuro, dice Ravid de xs: code.

Asegurarse de que a los desarrolladores se les pague por su trabajo en proyectos de código abierto puede ayudarlos a motivarse a tomarse la seguridad en serio.

«Creemos que los desarrolladores compensados ​​son la clave para garantizar que el código abierto se vuelva más seguro», dice Ravid. «Creemos que cuando los desarrolladores tengan clientes que pagan, continuarán manteniendo sus proyectos y reparando vulnerabilidades. Creemos que tener un camino claro para que un desarrollador o mantenedor arregle su software program ayudará a hacer que el ecosistema sea más seguro».

Contenido relacionado:

Regístrese ahora para el Black Hat United states totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio website de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Reading through, MIT&#39s Technological know-how Assessment, Popular Science y Wired News. Cinco premios para periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia first