CIBERSEGURIDAD

Muchos en riesgo de ciberataque debido a componentes de código abierto obsoletos o abandonados

0 77 2 minutos de lectura


Sin lugar a dudas, el papel del código abierto es fundamental para el desarrollo de software en todos los ámbitos. De hecho, la corporación de seguridad de software, Synopsys, ha afirmado que el código abierto constituye siete de cada diez líneas de código en la aplicación promedio. Entre los más populares estaban jQuery, que se podía encontrar en más de la mitad (55%) de las bases de código, seguido de Bootstrap con un 40% y Font Awesome con un 31%.

Sin embargo, lo realmente preocupante es la negligencia generalizada entre los desarrolladores de software para garantizar que estas bases de código estén actualizadas y protegidas. De hecho, tras el análisis de más de 1250 bases de código comerciales de 2019, se reveló que un impactante 91% tenía componentes que estaban desactualizados por más de cuatro años o habían sido abandonados por completo. Como resultado, las aplicaciones quedan vulnerables a problemas operativos o de compatibilidad, pero lo que es más importante, corren un riesgo significativo de comprometerse.

De hecho, de estas bases de código, el 75% está plagado de vulnerabilidades que aumentaron un 15% con respecto al año anterior, en 2018. Si bien el error Heartbleed y la vulnerabilidad de Apache Struts empleadas en la brecha de Equifax 2017 ya no parecen ser una amenaza activa, El 49% de las vulnerabilidades de alto riesgo continúan perdurando.

“Es difícil descartar el papel vital que juega el código abierto en el desarrollo y la implementación de software moderno, pero es fácil pasar por alto cómo afecta la postura de riesgo de su aplicación desde una perspectiva de seguridad y cumplimiento de licencias.

El informe OSSRA 2020 destaca cómo las organizaciones continúan luchando para rastrear y administrar de manera efectiva su riesgo de código abierto ”, comparte Tim Mackey, estratega principal de seguridad del Centro de Investigación de Seguridad Cibernética Synopsys.

Para agravar aún más el problema, los equipos de DevOps están caminando sobre hielo delgado con respecto al cumplimiento de la ley de derechos de autor. De hecho, se encontró que el 73% de las bases de código auditadas tenían conflictos de licencias o ninguna licencia discernible.

Teniendo esto en cuenta, Synopsys ha ofrecido una serie de recomendaciones para mitigar los riesgos. En primer lugar, los equipos de desarrollo de software deben compilar un inventario de software preciso o una ‘Lista de materiales’ de software que destaque todos los componentes de código abierto y sus versiones utilizadas. De hecho, Mackey agrega que «Mantener un inventario preciso de los componentes de software de terceros, incluidas las dependencias de código abierto, y mantenerlo actualizado es un punto de partida clave para abordar el riesgo de las aplicaciones en múltiples niveles».

A partir de ahí, es fundamental que los equipos no solo estén atentos a la supervisión de los cambios y las versiones de nuevas amenazas y vulnerabilidades, sino que también tengan un plan de políticas y procedimientos para gestionar de forma proactiva los componentes de código abierto. Si el software es un aspecto fundamental de la valoración de la organización, entonces podría valer la pena contratar a un tercero para auditar el código. Por último, pero no menos importante, se sugiere que todos, desde los escritores de código hasta los especialistas en seguridad de la información y los consultores legales, se reúnan para contribuir con sus talentos en una comunidad de código abierto.

Publicaciones relacionadas

SDK de Twilio comprometido por atacantes

Violación de datos confirmada por Chatbooks

FireMon anuncia la primera solución inteligente de gestión de seguridad en la nube de la industria

MIT pinta un objetivo gigante en un nuevo chip «a prueba de piratería»

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar