El código abierto no es igual a seguro


El código abierto no es igual a seguro

Allá por 1999, escribí sobre el software package de código abierto:

Primero, simplemente publicar el código no significa automáticamente que la gente lo examinará en busca de fallas de seguridad. Los investigadores de seguridad son personas volubles y ocupadas. No tienen tiempo para examinar cada fragmento de código fuente que se publica. Entonces, aunque abrir el código fuente es algo bueno, no es una garantía de seguridad. Podría nombrar una docena de bibliotecas de seguridad de código abierto de las que nadie ha oído hablar y que nadie ha evaluado. Por otro lado, el código de seguridad en Linux ha sido examinado por muchos ingenieros de seguridad muy buenos.

Tenemos algo nueva investigación de GitHub que lo confirma. En promedio, las vulnerabilidades en sus bibliotecas pasan cuatro años antes de ser detectadas. De una ZDNet artículo:

GitHub lanzó una inmersión profunda en el estado de la seguridad de código abierto, comparando la información recopilada de las funciones de seguridad de dependencia de la organización y los seis ecosistemas de paquetes admitidos en la plataforma desde el 1 de octubre de 2019 hasta el 30 de septiembre de 2020 y el 1 de octubre de 2018. al 30 de septiembre de 2019.

Solo se han incluido repositorios activos, sin incluir bifurcaciones o proyectos de «spam». Los ecosistemas de paquetes analizados son Composer, Maven, npm, NuGet, PyPi y RubyGems.

En comparación con 2019, GitHub descubrió que el 94% de los proyectos ahora se basan en componentes de código abierto, con cerca de 700 dependencias en promedio. Con mayor frecuencia, las dependencias de código abierto se encuentran en JavaScript [94%], así como en Ruby y .Web, en 90%, respectivamente.

En promedio, las vulnerabilidades pueden pasar desapercibidas durante más de cuatro años en proyectos de código abierto antes de su divulgación. Por lo basic, una solución está disponible en poco más de un mes, lo que según GitHub «indica oportunidades claras para mejorar la detección de vulnerabilidades».

Fuente abierta significa que el código está disponible para evaluación de seguridad, no que necesariamente haya sido evaluado por nadie. Esta es una distinción importante.

Publicado el 3 de diciembre de 2020 a las 11:21 AM •
comentarios



Enlace a la noticia first