El uso generalizado de software de código abierto (OSS) dentro del desarrollo de aplicaciones modernas plantea un "riesgo de seguridad significativo", sugiere una nueva investigación.
Según un nuevo informe de la empresa de ciberseguridad Snyk, junto con Linux (se abre en una pestaña nueva) Foundation, las organizaciones actuales no están preparadas para hacer frente a estos riesgos.
Basado en una encuesta de más de 550 encuestados, así como en datos extraídos de 1.3 millones de proyectos de código abierto a través de Snyk Open Source, el informe establece que dos de cada cinco empresas (41 %) no confían en la seguridad de su código fuente abierto.
Vulnerabilidades en el código fuente abierto
Se encontró que el proyecto promedio de desarrollo de aplicaciones tiene 49 vulnerabilidades, así como 80 dependencias directas. Por lo general, ahora se necesitan 110 días para remediar una vulnerabilidad en un proyecto de código abierto, frente a los 49 días de hace cuatro años.
“Los desarrolladores de software hoy en día tienen sus propias cadenas de suministro: en lugar de ensamblar piezas de automóviles, están ensamblando código al unir componentes de código abierto existentes con su código único. Si bien esto conduce a una mayor productividad e innovación, también ha creado importantes problemas de seguridad”, dijo Matt Jarvis, director de relaciones con desarrolladores de Snyk.
Jarvis agregó que existe cierta "ingenuidad" en el enfoque de la industria hacia el software de código abierto, lo que podría abrir la puerta a todo tipo de malware, ransomware y otros ataques.
Por ejemplo, menos de la mitad (49%) tiene una política de seguridad para el desarrollo o uso de OSS, descendiendo al 27% entre las medianas y grandes empresas. Además, menos de un tercio (30 %) de las organizaciones sin una política de seguridad de código abierto son conscientes del hecho de que, por el momento, nadie se ocupa de la seguridad del software de código abierto.
Pero algunos encuestados son conscientes de los desafíos de seguridad que plantea el software de código abierto en la cadena de suministro. Una cuarta parte dijo que estaba preocupada por el impacto de seguridad de sus dependencias en OSS, y solo el 18 % dijo que confiaba en los controles que habían establecido para sus dependencias transitivas, donde se encontraron el 40 % de todas las vulnerabilidades.