Las vulnerabilidades de código abierto aún representan un gran desafío para los equipos de seguridad

En todos los sectores de la industria, el software de código abierto continúa planteando un desafío para la seguridad del software. Todos somos conscientes de que las vulnerabilidades en el software, las aplicaciones y los sistemas operativos comerciales y de código abierto pueden provocar infracciones en la cadena de suministro del software, pero ahora estamos viendo atacantes que tienen como objetivo las aplicaciones web, los servidores API, los dispositivos móviles y los componentes del software. necesarios para construirlos.

Se acaba de publicar la última edición del estudio anual de Synopsys sobre seguridad de código abierto. El “Seguridad de código abierto y análisis de riesgos” (OSSRA) El estudio de Synopsys analiza los resultados de más de 1,700 auditorías comerciales de código base.

De las 1,703 bases de código que Synopsys auditó en 2022, el 96 % contenía código abierto. aeroespacial, aviación, automotriz, transporte y logística; tecnología educativa; e Internet de las cosas fueron tres de los 17 sectores industriales incluidos en el informe OSSRA de 2023 que tenían código abierto en el 100 % de sus bases de código auditadas. En las verticales restantes, más del 92% de las bases de código contenían código abierto.

Las vulnerabilidades de alto riesgo persisten en el código

Desde 2019, las vulnerabilidades de alto riesgo han aumentado al menos un 42 % en los 17 negocios de OSSRA, con aumentos que se disparan a +557 % en los sectores minorista y de comercio electrónico y a +317 % en el sector de hardware informático y semiconductores.

Una retrospectiva de cinco años, nueva en el informe OSSRA de este año, brinda una imagen más completa de las tendencias de código abierto y seguridad. A pesar de las variaciones por industria, el contenido general de código abierto de las bases de código auditadas creció en todos los ámbitos. Varias industrias también mostraron aumentos alarmantes en la cantidad de vulnerabilidades encontradas en sus bases de código, lo que indica una falta preocupante de mitigación de vulnerabilidades.

Un área importante que sigue siendo un desafío es la gestión de parches. De las 1,703 bases de código auditadas, el 89 % contenía código abierto que tenía más de cuatro años de antigüedad (un aumento del 5 % con respecto al informe de 2022). Y el 91 % utilizó componentes que no eran la última versión disponible. Es decir, una actualización o parche estaba disponible pero no se aplicó. Junto con la gestión de parches, los conflictos de licencias siguen planteando problemas de seguridad. Este año, el 54 % de las bases de código auditadas contenían bases de código con conflictos de licencia, un 2 % más que el año pasado.

Hay razones válidas para no actualizar el software, pero una parte significativa de la cifra del 91 % probablemente se deba a que los equipos de desarrollo no saben que hay disponible una versión más nueva de un componente de código abierto. Si una empresa no mantiene un inventario preciso y actualizado del código abierto utilizado en su código, un componente puede pasar desapercibido hasta que se expone a un exploit de alto riesgo.

Eso es exactamente lo que sucedió con Log4j, y sigue siendo un problema más de un año después. A pesar de la atención pública que atrajo y los muchos pasos que las empresas pueden tomar para verificar y corregir la presencia de Log4j en su base de código, persiste en el 5 % de todas las bases de código y en el 11 % de las bases de código Java auditadas.

Establecer las mejores prácticas de código abierto para la seguridad

Establecer las mejores prácticas de gobierno de software puede ayudarlo a lanzar un programa de administración de software de código abierto para proteger sus recursos y datos de las vulnerabilidades de día cero.

1. Defina su política.

La creación de una política de código abierto para su organización minimiza los riesgos legales, técnicos y comerciales. Desea identificar a sus partes interesadas clave y luego definir los objetivos de software de código abierto de su organización, la utilización existente y el uso objetivo. La política debe cubrir parches y licencias de código abierto, así como identificar quién será responsable de mantenerlos.

2. Cree un proceso de aprobación.

Establezca un proceso de aprobación para evaluar si un paquete de software cumple con las necesidades y los estándares de calidad de su organización. Considere la calidad del código, el soporte, la madurez del proyecto, la reputación del colaborador y los patrones de vulnerabilidad. Un proceso de aprobación que tenga en cuenta estos criterios evitará que los equipos tengan varias versiones del mismo paquete de software en el código de su organización, algunas de las cuales pueden no haber sido parcheadas o actualizadas.

3. Auditoría para software de fuente abierta.

Las auditorías revelan su software de código abierto y garantizan el cumplimiento de las normas de la empresa. Esto puede ayudarlo a ubicar componentes para el cumplimiento de la licencia de código abierto y la divulgación de vulnerabilidades. Debe realizar análisis de código abierto a lo largo del ciclo de vida de desarrollo de software (SDLC), pero debe asegurarse de realizar un análisis final cada vez que una aplicación se integra en una versión candidata que utiliza software de código abierto, especialmente si confía en componentes de terceros. fiestas.

4. Construir un SBOM

Una lista de materiales de software (SBOM) es una lista de todos los componentes de código abierto y de terceros presentes en una base de código. Un SBOM también enumera las licencias que rigen esos componentes, las versiones de los componentes utilizados en el código base y su estado de parche, lo que permite a los equipos de seguridad identificar rápidamente cualquier riesgo de licencia o seguridad asociado. La automatización de esta operación elimina los inventarios de fuente abierta manuales e inexactos.

Al implementar las prácticas de seguridad adecuadas, puede mantenerse al tanto de su riesgo de vulnerabilidad de código abierto y crear un sistema sólido para administrarlo.

Sobre la autora

Charlotte Freeman ha estado escribiendo sobre tecnología y seguridad durante más de 20 años. Actualmente es escritora sénior de seguridad para Synopsys Software Integrity Group.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
Fuente: https://www.darkreading.com/application-security/open-source-vulnerabilities-still-pose-a-big-challenge-for-security-teams

Inteligencia de datos generativa

Las vulnerabilidades de código abierto aún representan un gran desafío para los equipos de seguridad

Las vulnerabilidades de alto riesgo persisten en el código

Establecer las mejores prácticas de código abierto para la seguridad

Cumplimiento mínimo viable: lo que debería preocuparle y por qué

Manual de tanques militares, Ancla de día cero de 2017, último ciberataque en Ucrania

Información más reciente

Drone Racing League adquirida por Infinite Reality por 250 millones de dólares

Rafale entra en servicio croata

La firma estadounidense de capital privado Thoma Bravo adquirirá la empresa británica de ciberseguridad Darktrace por 5.3 millones de dólares en efectivo – Tech Startups

Estados Unidos proporcionará 6 millones de dólares para financiar armas a largo plazo para Ucrania, dicen funcionarios

Las 17 rondas de financiación de empresas emergentes más grandes de marzo de 2024

Reino Unido explora nueva tecnología de radar e infrarrojos para mejorar SDA

Habla con nosotros!