Cómo las fallas de seguridad de código abierto representan una amenaza para las organizaciones


La mayoría de las bases de código de fuente abierta encontradas en aplicaciones comerciales analizadas por Synopsys contenían vulnerabilidades de seguridad.

código abierto escrito a mano con nube de palabras relacionadas

Imagen: Getty Images / iStockphoto

Las aplicaciones que utilizan código fuente abierto ofrecen una serie de beneficios, que incluyen transparencia, flexibilidad, rentabilidad y apoyo a la comunidad. Pero, ¿cómo les va a esos productos en materia de seguridad? Aunque el enfoque basado en la comunidad hacia el código abierto significa que las fallas de seguridad deben identificarse rápidamente, parchear esas fallas y aplicar los parches es otro asunto.

VER: Los 5 principales lenguajes de programación que deben aprender los administradores de sistemas (PDF gratuito) (TechRepublic)

en un informe publicado el martes, la empresa de automatización del diseño Synopsys examinó las aplicaciones comerciales que utilizan código fuente abierto para ver cómo se enfrentan a las fallas de seguridad.

Todas las empresas que se ven en la industria de la tecnología de marketing and advertising, que abarca la generación de clientes potenciales CRM y las redes sociales, contenían código fuente abierto en sus aplicaciones. De estos, el 95% de las bases de código tenían vulnerabilidades de código abierto. Aproximadamente el 98% de las bases de código en el sector de la salud contenían código abierto y el 67% de ellas tenían fallas de seguridad.

Aproximadamente el 97% de las bases de código de la industria de servicios financieros contenían código abierto, y más del 40% presentaba vulnerabilidades. Y el 92% de las bases de código analizadas en el sector minorista y de comercio electrónico utilizaron código abierto, y el 71% descubrió fallas de seguridad.

Muchos de los agujeros de seguridad fueron el resultado de componentes de código abierto abandonados. Un 91% de las bases de código tenían dependencias de código abierto sin actividad de desarrollo durante los últimos dos años, lo que significa que no hay mejoras en el código ni parches de seguridad.

«Que más del 90% de las bases de código usaran código abierto sin actividad de desarrollo en los últimos dos años no es sorprendente», dijo Tim Mackey, estratega de seguridad principal del Centro de Investigación de Seguridad Cibernética Synopsys, en un comunicado de prensa. «A diferencia del application comercial, donde los proveedores pueden enviar información a sus usuarios, el código abierto depende del compromiso de la comunidad para prosperar. Los proyectos huérfanos no son un problema nuevo, pero cuando ocurren, abordar los problemas de seguridad se vuelve mucho más difícil».

Los componentes de código abierto obsoletos también influyeron en las fallas de seguridad. Alrededor del 85% de las bases de código examinadas por Synopsys tenían dependencias de código abierto que estaban desactualizadas por más de cuatro años. Estos componentes son compatibles con comunidades de desarrolladores activas que publican correcciones de seguridad, pero los clientes comerciales no las aplican necesariamente.

Las fallas de código abierto van en aumento. En 2020, el porcentaje de bases de código con componentes de código abierto vulnerables alcanzó el 84%, un aumento del 9% con respecto a 2019. Durante el mismo tiempo, el porcentaje de bases de código con vulnerabilidades de alto riesgo aumentó de 49% a 60%. Varias de las principales fallas de código abierto descubiertas en las bases de código en 2019 persistieron en 2020.

Para ayudar a las organizaciones a protegerse contra las vulnerabilidades de código abierto, Mackey compartió los siguientes consejos con TechRepublic:

  • Cree un inventario de sus activos de código abierto. La reducción de la exposición a vulnerabilidades comienza con un inventario completo de sus activos de código abierto. Idealmente, este inventario se actualiza cada vez que se implementa computer software nuevo o actualizado para que pueda saber si todo está parcheado correctamente. Asegúrese de incluir el origen de cada componente de código abierto porque eso le dirá dónde encontrar los parches correctos.
  • Revise cómo el proveedor maneja los parches. Cuando adquiera un nuevo dispositivo o aplicación, revise cómo el proveedor emite los parches de program. Si no puede determinarlo por su cuenta, comuníquese con el equipo de soporte.
  • Considere un proveedor diferente cuando sea necesario. Si el proveedor no puede ayudarlo o no parece estar actualizando sus propios productos, eso significa que probablemente es hora de encontrar un proveedor diferente. Si el proveedor no está al día con los parches, entonces la seguridad probablemente no sea una prioridad tan alta como debería ser.
  • Revise los parches de seguridad antes de aplicarlos. Asegúrese de revisar completamente cualquier parche de seguridad antes de aplicarlo. Esto es especialmente crítico con el código fuente abierto, ya que los desarrolladores no conocen su entorno particular y no pueden probarlo.

Ver también



Enlace a la noticia unique