El software de código abierto (OSS) se ha convertido en un pilar de la mayoría de las aplicaciones, pero también ha creado retos de seguridad para los desarrolladores y los equipos de seguridad, retos que pueden ser superados por el creciente movimiento de "cambio a la izquierda", según dos estudios publicados.
Más de cuatro de cada cinco organizaciones (41%) no confían mucho en su seguridad de código abierto, según revelan investigadores. También se señala que el tiempo para corregir las vulnerabilidades en los proyectos de código abierto ha aumentado constantemente en los últimos tres años, más del doble de 49 días en 2018 a 110 días en 2021.
El debate sobre el código abierto: Productividad frente a seguridad
El informe, basado en una encuesta realizada a más de 550 encuestados, también señala que el proyecto medio de desarrollo de aplicaciones tiene 49 vulnerabilidades y 80 dependencias directas en las que un proyecto recurre al código abierto. Además, el informe revela que menos de la mitad de las organizaciones (49%) tienen una política de seguridad para el desarrollo o el uso de OSS. Esa cifra es peor en el caso de las empresas medianas y grandes: el 27%.
Los desarrolladores de software tienen hoy sus propias cadenas de suministro, en lugar de ensamblar las piezas de un coche, están ensamblando el código parcheando los componentes de código abierto existentes con su código único. Aunque esto conduce a una mayor productividad e innovación, también ha creado importantes problemas de seguridad.
El cambio de la izquierda en materia de seguridad revela antes las vulnerabilidades
El estudio sugiere que se puede lograr una mejor seguridad del OSS moviendo la seguridad "a la izquierda" o más cerca del comienzo del ciclo de vida del desarrollo de software. El informe descubrió que el 76% de las nuevas vulnerabilidades se solucionaban en dos sprints (periodo determinado para completar un escaneo).
Una de las razones por las que las vulnerabilidades se solucionan tan rápido es porque se encuentran rápidamente. Cada cambio en el código que realiza un desarrollador se escanea en una media de 90 segundos, como el código está todavía fresco en la mente del desarrollador, le resulta más fácil solucionar la vulnerabilidad.
Aumento del escaneo de vulnerabilidades
También se observó disminuir el número de vulnerabilidades de OSS que necesitaban abordar en aplicaciones en un 97% porque la competencia sólo podían explotar el 3% de esas vulnerabilidades. Cuando se analizan las vulnerabilidades del OSS, no se trata de cuántas vulnerabilidades tiene una aplicación, sino de dónde son explotables por un malhechor.
También se informó que los clientes mejoraron el tiempo medio necesario para mitigar las vulnerabilidades en un 37%, pasando de 19 días en 2021 a 12 días en 2022. Se atribuye el descenso a que los desarrolladores y los equipos de seguridad realizan más escaneos en las primeras fases del proceso de desarrollo.
¿Es realmente explotable la vulnerabilidad?
El informe plantea la pregunta: "¿Es la vulnerabilidad realmente alcanzable por un atacante?". Esto es importante a la hora de abordar fallos de día cero como el de Log4J, al que algunas organizaciones todavía se enfrentan meses después de su descubrimiento en diciembre de 2021. Se dice que el 96% de Log4J en uso en las aplicaciones de sus clientes no estaba en riesgo de ataque.
Remediar las vulnerabilidades que no son explotables tendrá un impacto nulo en el riesgo. Se debe pasar a un segundo plano y céntrese en otras que si lo son.
Fuente: CSO
Comentários