Synopsys Research destaca el uso generalizado de software de terceros obsoleto e inseguro

Synopsys, Inc. ha publicado hoy el informe ‘El estado de la composición de software 2017’, tras su reciente investigación sobre la seguridad de la cadena de suministro de software, posiblemente uno de los desafíos más importantes que enfrenta la industria del software en la actualidad.
Usando su propio producto de análisis de composición de software, Protecode^™ SC, Synopsys analizó datos del mundo real durante un período de 12 meses (1 de enero^{S t} 2016-1 de diciembre^{S t} 2016). El informe detalla el análisis de 128.782 aplicaciones de software, y posteriormente reveló 16.868 versiones únicas de componentes de software comercial y de código abierto, que contienen cerca de 10.000 vulnerabilidades de seguridad únicas.
Como explica Andreas Kuehlmann, vicepresidente senior y gerente general de Synopsys Software Integrity Group: “Al analizar grandes conjuntos de datos e identificar tendencias y áreas problemáticas, podemos proporcionar a la comunidad de desarrollo de software una valiosa inteligencia para ayudarlos a mantener su software seguro y A hoy». Añadió: “Con el tiempo, las vulnerabilidades en componentes de terceros se descubren y divulgan, dejando un paquete de software previamente seguro abierto a exploits. El mensaje para la industria del software no debería ser si debe utilizar software de código abierto, sino si está atento a mantenerlo actualizado para evitar ataques «.
La investigación representa una variedad de software que incluye aplicaciones móviles, de escritorio y web, así como firmware y software integrado de una variedad de industrias. El informe también detalla información sobre componentes de software de terceros comúnmente observados, las vulnerabilidades y exposiciones comunes (CVE) que se sabe que afectan a estos componentes, la clasificación del sistema de puntuación de vulnerabilidad común (CVSS) de 10 puntos para CVE y las debilidades comunes del software (CWE) utilizadas para clasificarlos
Otros hallazgos notables detallados en el informe incluyen:

• El 45 por ciento del total de 9.553 CVE específicos se remontan a 2013 o antes.
• El error Heartbleed todavía aparece en el 50 por ciento superior de todos los CVE observados, a pesar de que hay un parche disponible desde 2014
• El CVE más antiguo se remonta a 1999
• Los 10 componentes de software más comunes con versiones desactualizadas que aún se usan más del 90 por ciento del tiempo incluyen: Curl, Dropbear, Expat, libjpeg-turbo, libjpeg, libpng Linux Kernal, Lua, OpenSSL y Pcre; si no se actualizan, estos componentes de software pueden dejar los productos vulnerables

Al discutir la clara relevancia del informe, Robert Vamosi, estratega de seguridad de Synopsys explica que «poco después del brote de WannaCry del mes pasado, las ideas del informe sirven como una llamada de atención de que no todos están usando la versión más segura del software disponible». . Añadió: “El proceso de actualización no finaliza en el momento del lanzamiento del software y se debe implementar un patrón continuo de actualizaciones de software durante todo el ciclo de vida del producto. A medida que se revelan nuevos CVE frente a componentes de software de código abierto, los desarrolladores deben saber si sus productos se ven afectados y las organizaciones deben evitar la explotación de vulnerabilidades con las últimas versiones cuando estén disponibles «.
Descargue el reporte completo aquí.