vulnerabilidad

Hace algunos dias Veracode (una empresa en seguridad de aplicaciones) dio a conocer mediante una publicación de blog, un estudio sobre los problemas de seguridad causados ​​por la incorporación de bibliotecas de código abierto en las aplicaciones.

Como resultado de escanear 86 mil repositorios y una encuesta a cerca de dos mil desarrolladores, se determinó que el 79% de los proyectos de bibliotecas de terceros transferidos al código nunca se actualizan posteriormente.

Veracode señala en su estudio que el principal problema asociado a los problemas de seguridad en aplicaciones que utilizan bibliotecas de codigo abierto es que en lugar de vincularlas dinámicamente, muchas empresas simplemente incluyen las bibliotecas necesarias en sus proyectos, sin tomar en cuenta las posibles actualizaciones o soluciones a errores encontrados posteriormente en dichas bibliotecas.

Al mismo tiempo, señala que el código de biblioteca desactualizado causa problemas de seguridad y que en  dicho estudio muestra que alrededor del 92% de los casos se pueden evitar simplemente actualizando el código de la biblioteca.

Hoy publicamos la edición de código abierto de nuestro informe anual State of Software Securityinforme. Centrado exclusivamente en la seguridad de las bibliotecas de código abierto, el informe incluye el análisis de 13 millones de escaneos de más de 86.000 repositorios, que contienen más de 301.000 bibliotecas únicas.

En el informe de la edición de código abierto del año pasado, analizamos una instantánea del uso y la seguridad de las bibliotecas de código abierto. Este año, fuimos más allá de la instantánea de un punto en el tiempo para examinar la dinámica del desarrollo de la biblioteca y cómo reaccionan los desarrolladores a los cambios de la biblioteca, incluido el descubrimiento de fallas.

Además de que las excusas de que las bibliotecas no se actualizan, es debido a una posible falla de la compatibilidad que son en su mayoría infundadas. Ante este tipo de excusas Veracode demostró todo lo contrario en su estudio que cerca del 69% de los casos estudiados, dichas las vulnerabilidades se solucionaron en versiones de corrección que no estaban relacionadas con cambios en la funcionalidad.

 El informe revela que, aunque las bibliotecas de código abierto son la base de casi todo el software, no es una base sólida, sino una base en constante evolución y cambio. Sin embargo, Las prácticas de desarrollo no siempre se adaptan a la naturaleza dinámica de estas bibliotecas, lo que deja expuestas a las organizaciones. 

Tambien menciona que el impacto también se ejerce al informar a los desarrolladores sobre la aparición de vulnerabilidades: si los desarrolladores fueron notificados de un problema en la biblioteca, en el 17% de los casos el problema se resolvió en una hora y en el 25% en una semana.

Si había información sobre cómo una vulnerabilidad en la biblioteca podía llevar a comprometer una aplicación, en el 50% de los casos el parche se lanzó en tres semanas, y sin proporcionar información, la eliminación de la vulnerabilidad tuvo que esperar 7 meses o más.

Una cuarta parte de los desarrolladores encuestados dijo que al elegir una biblioteca para incrustar, el enfoque principal está en la funcionalidad y las licencias de código, y solo entonces se considera la seguridad.

Analizamos las bibliotecas más populares en 2019 frente a 2020, así como las bibliotecas más populares con vulnerabilidades conocidas en 2019 frente a 2020. En pocas palabras: puede agregar el uso de bibliotecas de código abierto a la lista de cosas que cambiaron drásticamente en 2020. Lo que está de moda y lo que no, y lo que es seguro y lo que no, cambia rápidamente.

Cabe señalar que la situación con la verificación de licencias de código no es mejor: el 54% de los encuestados admitió que no siempre verifican la licencia para el código de la biblioteca antes de integrarlo en su producto. Solo el 27% de los encuestados practica la verificación obligatoria de la compatibilidad de las licencias.

Finalmente si estás interesado en conocer más al respecto sobre el estudio realizado por Veracode, puedes consultar los detalles en el siguiente enlace.

 

Fuente: desdelinux

¿Quién está en línea?

Hay 13420 invitados y ningún miembro en línea