Para frenar el riesgo de código abierto, Synopsys aconseja a las empresas que mantengan un inventario completo de todo el software dentro de su entorno y que comprendan que asegurar el código abierto requiere una gestión sólida.
Si bien casi todos los entornos empresariales contienen aplicaciones de código abierto, las organizaciones aún luchan por administrar adecuadamente el código, según un informe de Synopsys.
El informe de análisis de riesgo y seguridad de código abierto (OSSRA) de 2022 reveló el gran volumen de software de código abierto utilizado por empresas en una variedad de industrias, así como los desafíos con código desactualizado y vulnerabilidades de alto riesgo como Log4Shell . Si bien persisten los problemas de visibilidad y priorización, el informe destacó mejoras en algunas áreas, en particular, una mayor conciencia del software de código abierto.
Para compilar el informe , Synopsys Cybersecurity Research Center y Black Duck Audit Services examinaron los hallazgos de más de 2400 bases de código comerciales en 17 industrias. Si bien el análisis determinó que el 97 % de las bases de código contenían software de código abierto, un desglose por industria mostró que cuatro contenían código abierto en el 100 % de sus bases de código. Las áreas afectadas fueron hardware informático y semiconductores, ciberseguridad, energía y tecnologías limpias e internet de las cosas.
"Incluso el sector con el porcentaje más bajo (salud, tecnología de la salud, ciencias de la vida) tenía el 93%, que sigue siendo muy alto", dice el informe.
Además, el informe encontró que el 78% del código dentro de las bases de código también era de código abierto. Tim Mackey, estratega principal de seguridad en el Centro de Investigación de Seguridad Cibernética de Synopsys , contribuyó al informe y le dijo a SearchSecurity que no estaba sorprendido por el alto porcentaje. Realiza un seguimiento de los últimos cuatro o cinco años, durante los cuales más de dos tercios del código dentro de las bases de código era de código abierto. En 2020, fue del 75%. Si bien el uso de software de código abierto varía según la industria, Mackey dijo que así es como funciona el mundo.
"Sospecho que... [vamos] probablemente a los 80 con el tiempo, pero nos estamos acercando a la bifurcación de la propiedad y la costumbre frente al código abierto para la mayoría de las industrias", dijo.
Un aspecto que ha acelerado el ritmo de la innovación en los últimos 10 años es cómo los desarrolladores pueden enfocarse en características y propuestas de valor únicas para los empleadores. Desde allí, Mackey dijo que pueden acceder a las bibliotecas que realizan el trabajo fundamental. El desafío, dijo, es que un equipo de desarrollo seguirá un conjunto diferente de reglas de seguridad y criterios de lanzamiento para el software de fuente abierta.
Si bien puede ser beneficioso que cualquiera pueda examinar el código fuente, Mackey dijo que, en la práctica, la mayoría de las personas solo se enfocan en lo que hace, lo descargan y lo usan. Ahí está el riesgo para las empresas.
“Entonces, con todo el código abierto que está impulsando nuestro mundo moderno, eso lo convierte en un objetivo principal para ser un vector de ataque”, dijo.
Gestión de código abierto
Una tendencia recurrente en el informe es "que el código abierto en sí mismo no genera riesgos comerciales, pero su administración sí".
Mackey reiteró ese sentimiento y dijo que las empresas que cambian de proveedor después de un incidente pueden estar señalando con el dedo en la dirección equivocada. Se refirió a los problemas con el código abierto como un "problema de proceso".
"El código abierto en sí mismo podría tener un error, pero cualquier otra pieza de software también tendrá un error", dijo Mackey.
Sin embargo, el alto volumen hace que sea difícil de mantener. La OSSRA determinó que el 81% del software utilizado por las empresas contenía al menos una vulnerabilidad. Las bases de código JQuery y Lodash contenían el mayor porcentaje de componentes vulnerables. Spring Framework, que causó problemas el mes pasado después de que los investigadores informaran dos fallas en el marco de desarrollo, también apareció en la lista en 2021.
Además, las evaluaciones de riesgo de Black Duck Audit Services encontraron que de 2000 bases de código, el 88 % contenía versiones desactualizadas de componentes de código abierto, lo que significa que "una actualización o parche estaba disponible pero no se había aplicado".
Más significativamente, el 85% contenía código fuente abierto que tenía más de cuatro años de antigüedad. Ese porcentaje ha sido constante a lo largo de los años, según Mackey.
Dijo que si bien requiere más investigación para identificar el problema, destaca cómo la falta de un proceso de actualización puede facilitar la actualización. El gran volumen de código fuente abierto también es un problema: podría haber cientos o miles de aplicaciones, con cientos de componentes por aplicación.
“Ese es realmente uno de los quid de lo que estamos viendo de manera constante, es que las empresas luchan por descubrir cuál es realmente la forma más eficiente de administrar estas cosas”, dijo.
Una falla que causó a las empresas una pesadilla de gestión y escala el año pasado fue Log4Shell . Si bien el informe señaló una "disminución en las vulnerabilidades de alto riesgo,... 2021 aún fue un año lleno de problemas de código abierto". Eso incluyó ataques a la cadena de suministro y exploits de piratas informáticos de las imágenes de Docker, pero "más notablemente" la vulnerabilidad de día cero en la utilidad Apache Log4j conocida como Log4Shell. Permitió a los atacantes ejecutar código arbitrario en servidores vulnerables, según el informe.
"Sin embargo, lo más notable de Log4Shell no es su ubicuidad sino las realizaciones que estimuló. A raíz de su descubrimiento, las empresas y las agencias gubernamentales se vieron obligadas a volver a examinar cómo usan y protegen el software de código abierto creado y mantenido en gran parte por personal no remunerado". voluntarios, no proveedores comerciales. Lo que también salió a la luz fue que muchas organizaciones simplemente desconocen la cantidad de código abierto que se utiliza en su software", dice el informe.
Los investigadores analizaron el porcentaje de bases de código Java auditadas y encontraron que el 15 % "contenía un componente Log4j vulnerable". Aunque Mackey reconoció que la cantidad de aplicaciones Java ha cambiado y los datos de registro han mejorado, dijo que el 15 % era menor de lo que esperaba.
"Mi bola de cristal dice que hablaremos de esto el próximo año porque en realidad uno de los grandes problemas que vemos año tras año es que las personas no necesariamente hacen un buen trabajo reparando las vulnerabilidades que han existido durante algunos años", dijo.
Las diferencias entre el software comercial y el de código abierto obstaculizan a las empresas cuando se trata de aplicar parches. El informe señaló que la aplicación de parches comerciales "generalmente requiere la participación de un departamento de adquisiciones, así como la revisión de estándares que forman parte de un programa de gestión de riesgos de proveedores". Por otro lado, "el código abierto puede simplemente haber sido descargado y utilizado a discreción del desarrollador".
Parte de esa gestión se extiende a la seguridad después de una fusión o adquisición. Mackey dijo que uno de los mayores desafíos que enfrentan los compradores es la falta de visibilidad y el conjunto de habilidades para evaluar exactamente lo que están comprando. Parece que 2021 fue un gran año para las fusiones y adquisiciones.
"El crecimiento en la cantidad de bases de código auditadas, un 64% más que el año pasado, refleja el aumento significativo en las transacciones de fusiones y adquisiciones a lo largo de 2021", dice el informe.
Con base en las estadísticas, Mackey dijo que es extremadamente difícil para las empresas no usar código abierto.
"Yo diría que es casi imposible", dijo. "Tampoco deberían usar compañías como Amazon, Microsoft o Google, porque todos usan código abierto. Es lo que alimenta sus nubes. Entonces, es la vida hoy".
Si bien queda trabajo por hacer para minimizar el riesgo de código abierto, Mackey dijo que Synopsys observó muchas mejoras el año pasado. Las empresas hicieron un mejor trabajo al administrar los conflictos de licencias, la cantidad de vulnerabilidades disminuyó y la cantidad de aplicaciones con fallas de alta gravedad también disminuyó.
“La gente está reconociendo que necesita 'seguir con el programa'. Eso puede ser que Biden los golpee en la cabeza, eso podría ser 'Oh, espera, no quiero ser el próximo Oleoducto Colonial'", dijo Mackey. "No necesariamente podemos decir, pero esas son buenas tendencias. No me gusta decir que el código abierto es malo de ninguna manera; simplemente se maneja de manera diferente".
Fuente: techtarget | somoslibres
