Contenido
- Código abierto en todas partes
- Vulnerabilidades de código abierto: los resultados están en
- ¿Cuál es el más vulnerable de todos?
- Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
- El salvaje oeste de las vulnerabilidades de código abierto
- La comunidad de código abierto está por encima de la seguridad: ahora los usuarios deben ponerse al día
- Cómo avanzar en seguridad de código abierto
Para llevar:
Los componentes de código abierto son una excelente manera de crear software, pero las vulnerabilidades dentro de ellos podrían poner en peligro a toda su organización. Conozca los riesgos y manténgase actualizado sobre las soluciones de seguridad de código abierto para protegerse y proteger su negocio.
A medida que los equipos de desarrollo compiten para mantener el ritmo competitivo de la producción de software, los componentes de código abierto se han convertido en una parte integral de la caja de herramientas de cada desarrollador, ayudándoles a crear y enviar productos innovadores a la velocidad de DevOps.
El aumento constante en el uso de código abierto, junto con las brechas de datos que acaparan los titulares como la violación de Equifax que explotó las vulnerabilidades en los componentes de código abierto, finalmente puede tener a las organizaciones listas para administrar la seguridad de código abierto y abordar el Salvaje Oeste de las vulnerabilidades de código abierto. Sin embargo, la pregunta es si saben por dónde empezar. (Para obtener más información, consulte Cualitativo frente a Cuantitativo: Tiempo de cambio ¿Cómo evaluamos la gravedad de las vulnerabilidades de terceros?)
Código abierto en todas partes
WhiteSource publicó recientemente el Informe de estado de la gestión de vulnerabilidades de código abierto para proporcionar información para ayudar a las organizaciones a comprender mejor cómo abordar la seguridad de código abierto. Según el informe, que incluyó los resultados de una encuesta sobre el uso de código abierto realizada entre 650 desarrolladores de los EE. UU. Y Europa occidental, un sorprendente 87.4 por ciento de los desarrolladores confían en componentes de código abierto "muy a menudo" o "todo el tiempo". Otro 9.4 por ciento respondió que "a veces" usan componentes de código abierto. Lo que se destacó fue que solo el 3.2 por ciento de los participantes respondieron que nunca usan código abierto, lo que probablemente se debió a la política de la compañía.
Estas cifras demuestran claramente, sin lugar a dudas, que un desarrollador que trabaja en un proyecto de software probablemente está aprovechando componentes de código abierto.
Vulnerabilidades de código abierto: los resultados están en
El informe también profundizó en la base de datos de código abierto WhiteSource, que se agrega desde la Base de datos de vulnerabilidad nacional (NVD), los avisos de seguridad, las bases de datos de vulnerabilidad revisadas por pares y los rastreadores de problemas de código abierto populares, para conocer las vulnerabilidades de código abierto que los equipos de desarrollo necesitan lidiar con.
Los resultados mostraron que el número de vulnerabilidades de código abierto conocidas alcanzó un máximo histórico en 2017 con casi 3,500 vulnerabilidades. Ese es un aumento de más del 60 por ciento en el número de vulnerabilidades de código abierto reveladas en comparación con 2016, y la tendencia no muestra signos de desaceleración en 2018.
¿Cuál es el más vulnerable de todos?
La investigación también profundizó en la base de datos para encontrar los proyectos de código abierto más vulnerables y obtuvo resultados sorprendentes. Mientras que el 7.5 por ciento de todos los proyectos de código abierto son vulnerables, el 32 por ciento de los 100 proyectos de código abierto más populares tienen al menos una vulnerabilidad.
Si bien una vulnerabilidad es suficiente para poner en riesgo múltiples bibliotecas, un proyecto de código abierto vulnerable contiene un promedio de ocho vulnerabilidades. Eso significa que los proyectos de código abierto más populares a menudo también son los que tienen muchas vulnerabilidades.
Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida
No puede mejorar sus habilidades de programación cuando a nadie le importa la calidad del software.
Esta idea se vuelve aún más clara cuando miramos la lista de los 10 principales proyectos de código abierto con el mayor número de vulnerabilidades de código abierto. La lista de los 10 principales incluye proyectos de código abierto extremadamente populares que muchos de nosotros estamos utilizando.
Estos proyectos tienen más de una cosa en común: la mayoría de ellos son componentes frontales de Internet con amplias superficies de ataque que están muy expuestos, lo que los hace relativamente fáciles de explotar. Es por eso que atraen gran parte de la atención de la comunidad de investigación de seguridad de código abierto.
Otro aspecto que comparten muchos de estos proyectos es que la mayoría están respaldados por empresas comerciales. Dadas las apuestas y los recursos detrás de ellos, uno puede preguntarse: ¿cómo podrían ser tan vulnerables los proyectos respaldados por jugadores tan grandes?
El salvaje oeste de las vulnerabilidades de código abierto
En el pasado, el descubrimiento de vulnerabilidades de código abierto despertaría un animado debate sobre si los componentes de código abierto se mantienen lo suficientemente bien como para ser seguros para su uso. Afortunadamente, esos días han terminado, y hoy sabemos que el aumento en las vulnerabilidades de código abierto informadas demuestra cuán rápido la comunidad de código abierto y la comunidad de seguridad están respondiendo para mantenerse al día con el panorama de amenazas.
El crecimiento exponencial de la comunidad de código abierto junto con el descubrimiento tardío de notorias vulnerabilidades de código abierto en componentes tremendamente populares, como los que permitieron que Heartbleed prospere, han generado una mayor conciencia de la seguridad de código abierto y un ejército de investigadores que analizan el código abierto proyectos para vulnerabilidades, así como un cambio rápido para soluciones.
De hecho, el informe de WhiteSource encontró que el 97 por ciento de todas las vulnerabilidades reportadas tienen al menos una solución sugerida en la comunidad de código abierto, con actualizaciones de seguridad generalmente publicadas pocos días después de la publicación de una vulnerabilidad. (Para obtener más información sobre el código abierto, consulte Código abierto: ¿es demasiado bueno para ser verdad?)
La comunidad de código abierto está por encima de la seguridad: ahora los usuarios deben ponerse al día
Si bien la colaboración y los esfuerzos de la comunidad de código abierto para mejorar la seguridad de código abierto definitivamente muestran resultados en términos de descubrimiento de vulnerabilidades, divulgación y soluciones rápidas, es difícil para los usuarios mantenerse al día, debido a la naturaleza descentralizada de la comunidad de código abierto.
Cuando los desarrolladores usan componentes de software comerciales, las actualizaciones de versiones son parte del servicio que pagan y los proveedores pueden ser muy exigentes para asegurarse de que lo vean.
Así no es como funciona el código abierto. Datos de WhiteSource que mostraron que solo el 86 por ciento de las vulnerabilidades de código abierto reportadas aparecen en la base de datos de CVE. Esto se debe a que la naturaleza colaborativa y descentralizada de la comunidad de código abierto significa que la información y las actualizaciones sobre vulnerabilidades de código abierto se publican en cientos de recursos. Es imposible rastrear ese tipo de información manualmente, especialmente cuando consideramos el volumen del uso de código abierto.
Cómo avanzar en seguridad de código abierto
El aumento constante de las vulnerabilidades de código abierto es un desafío que las organizaciones deben abordar de frente, considerando cuán común se ha vuelto el uso de código abierto. Si bien la gran cantidad de vulnerabilidades de código abierto, incluidos los proyectos más populares, puede parecer abrumadora, aprender la forma en que la comunidad administra la seguridad de código abierto es un paso en la dirección correcta.
El siguiente paso es aceptar que la gestión de seguridad de código abierto viene con un conjunto diferente de reglas, herramientas y prácticas que asegurar los componentes comerciales o propietarios. Seguir con los mismos programas y herramientas de administración de vulnerabilidades no ayudará con la administración de seguridad de código abierto.
Adoptar una política de seguridad de código abierto que aborde estas diferencias e incorporar las tecnologías adecuadas para automatizar su administración ayudará a los equipos de seguridad y desarrollo a enfrentar los desafíos únicos de las vulnerabilidades de código abierto de frente, permitiéndoles volver al negocio de construir un gran software.