El estado del software de código abierto seguro, que antes se lamentaba, ha mejorado últimamente, pero un nuevo informe indica que muchas organizaciones aún lo ignoran en gran medida. Más sobre FOSS o Software Libre de Código Abierto.
Ese informe, " El estado de la seguridad de código abierto 2022 ", una empresa conjunta entre el especialista en seguridad para desarrolladores Snyk y The Linux Foundation, una organización sin fines de lucro centrada en el código abierto, incluye algunos hallazgos potencialmente preocupantes, que incluyen:
Menos de la mitad (49 por ciento) de las organizaciones tienen una política de seguridad para el desarrollo o uso de OSS (y este número es solo el 27 por ciento para medianas y grandes empresas)
Tres de cada 10 (30 por ciento) de las organizaciones sin una política de seguridad de código abierto reconocen abiertamente que nadie en su equipo está abordando directamente la seguridad de código abierto.
Esos puntos de datos provienen de una encuesta de más de 550 encuestados en el primer trimestre de 2022 que respaldó el informe, que también se basa en entrevistas y datos de Snyk Open Source, un producto que ha escaneado más de 1300 millones de proyectos de código abierto. Snyk y The Linux Foundation se unieron para investigar cómo las organizaciones detectan, mitigan y reducen los riesgos de seguridad que plantea el software de código abierto (OSS).
"Así como los desarrolladores de código propietario usan paquetes de código abierto para acelerar el desarrollo, también lo hacen los creadores de código abierto", dijo Snyk en una publicación de blog del 21 de junio .. "Esto significa que las bibliotecas de código abierto a menudo se basan en otras bibliotecas de código abierto, que se conocen como dependencias indirectas o transitivas, creando un árbol complejo de dependencias. Desde una perspectiva de seguridad, el software de código abierto introduce muchas capas de código en sus aplicaciones: - y las vulnerabilidades pueden residir en esas capas (como vimos recientemente con Log4Shell). La gestión de este riesgo requiere una planificación cuidadosa y la implementación de políticas de seguridad que aborden la superficie de ataque potencial en las bibliotecas de código abierto. También requiere equipar a su equipo con herramientas confiables y efectivas. para corregir las vulnerabilidades detectadas y seguir el ritmo a medida que surgen nuevas vulnerabilidades".
Se detalló una escena de seguridad de OSS en mejora en un artículo de Virtualization & Cloud Review de marzo titulado " Una vez que un problema de seguridad, el código abierto ahora es una solución, dice el informe ". Viniendo de Red Hat, ese informe decía: "Este año, el 89 por ciento de los líderes de TI dijeron que el código abierto empresarial es al menos tan seguro como el software propietario. Este es un gran cambio con respecto a no hace tanto tiempo. Solía ser bastante pocos compradores potenciales pensaron que poder ver el código fuente inherentemente disminuía la seguridad del código de la misma manera que poder ver los esquemas de un sistema de seguridad físico".
Sin embargo, el nuevo informe de Snyk indica que aún podría haber más trabajo por hacer para mejorar la cantidad de vulnerabilidades que podrían surgir en las aplicaciones que utilizan componentes OSS. Snyk dijo que la mayoría de las estimaciones indican que entre el 70 y el 90 por ciento de cualquier pieza de software moderno incluye código fuente abierto.
"Quizás el hallazgo más importante es que muchas organizaciones aún no comprenden completamente el alcance de las posibles vulnerabilidades en los paquetes de código abierto y no tienen las políticas implementadas para proteger sus aplicaciones de manera efectiva", dijo Snyk. "El uso de paquetes de código abierto requiere una nueva forma de pensar sobre la seguridad de los desarrolladores que muchas organizaciones aún no han adoptado".
Otros puntos de datos del informe incluyen:
- El 41 % de las organizaciones no tiene mucha confianza en la seguridad del OSS
- La cantidad promedio de vulnerabilidades críticas sobresalientes en una aplicación es 5.1 (el rango fue entre 2.6 y 9.5, según el lenguaje de programación utilizado)
- Más de cuatro de cada diez (41 por ciento) organizaciones no tienen mucha confianza en la seguridad de su OSS
- El proyecto de desarrollo de aplicaciones promedio tiene 49 vulnerabilidades y 80 dependencias directas (código fuente abierto llamado por un proyecto)
- El tiempo que se tarda en corregir vulnerabilidades en proyectos de código abierto ha aumentado constantemente, más del doble de 49 días en 2018 a 110 días en 2021
- Más de una cuarta parte de los encuestados señalaron que están preocupados por el impacto de seguridad de sus dependencias directas
- Solo el 18 por ciento de los encuestados dijeron que confían en los controles que tienen para sus dependencias transitivas.
- 24 de las organizaciones confían en la seguridad de sus dependencias directas
- El 40 por ciento de todas las vulnerabilidades se encontraron en dependencias transitivas
- El tiempo para solucionar vulnerabilidades se duplicó con creces, de 49 días en 2018 a 110 días en 2021
- El 59 por ciento de la organización informa que su OSS es algo o muy seguro
"Los tremendos beneficios y la prevalencia del OSS en el software organizacional, combinados con la vulnerabilidad de la cadena de suministro del software OSS, nos coloca en una encrucijada", dice el informe. "Las organizaciones y empresas que usan software de código abierto deben ser más conscientes de las dependencias que están usando, monitoreando de manera proactiva y regular todos los componentes en cuanto a usabilidad, confiabilidad y vulnerabilidades. En última instancia, el software de código abierto es una calle de doble sentido: los consumidores de código abierto El software fuente debe contribuir a las comunidades de OSS para garantizar la salud y la viabilidad de las dependencias de las que dependen. El mero uso de software de código abierto, sin contribuir, no es suficiente.
Específicamente, Snyk hizo estas recomendaciones, que se desarrollan en el informe:
- Colabore con los proveedores para crear herramientas de seguridad más inteligentes
- Definir políticas y procedimientos sólidos de ciberseguridad
- La implementación de las mejores prácticas para el desarrollo de software seguro es la otra forma líder de mejorar la seguridad del OSS.
- Anime a los desarrolladores a mejorar sus conocimientos de seguridad.
- Use la automatización para reducir su superficie de ataque e incorpore controles de seguridad en la cadena de herramientas existente de sus desarrolladores
- Aproveche las herramientas de seguridad especializadas
- Los consumidores de OSS deberían retribuir a las comunidades que los apoyan