Internacional. Synopsys, Inc. lanzó el informe de análisis de riesgo y seguridad de código abierto (OSSRA – siglas en inglés) de 2019, el cual destaca las tendencias y los patrones en el uso de código abierto, así como la prevalencia de componentes de código abierto inseguros y conflictos de licencia.
El informe, producido por Synopsys Cybersecurity Research Center (CyRC), examina los resultados de más de 1.200 auditorías de aplicaciones comerciales y bibliotecas, realizadas por el equipo de Black Duck Audit Services.
Como se muestra en el informe, muchas de las tendencias en el uso de código abierto que han presentado desafíos de administración de riesgos a organizaciones en años anteriores persisten en la actualidad. Sin embargo, los datos también sugieren que se ha alcanzado un punto de inflexión, con muchas organizaciones que mejoran su capacidad para gestionar el riesgo de fuente abierta, posiblemente debido a un mayor conocimiento y la maduración de las soluciones de análisis de composición de software comercial.
"El código abierto desempeña un papel cada vez más vital en el desarrollo y la implementación de software modernos, pero para darse cuenta de su valor, las organizaciones deben comprender y gestionar cómo afecta su postura de riesgo desde una perspectiva de seguridad y cumplimiento de licencias", dijo Tim Mackey, estratega principal de seguridad de Centro de Investigación de Ciberseguridad de Synopsys. "El informe OSSRA de 2019 ofrece un vistazo al estado de la administración de riesgos de código abierto dentro de las aplicaciones comerciales. Muestra que aún existen desafíos importantes, y la mayoría de las aplicaciones contienen vulnerabilidades de seguridad de código abierto y conflictos de licencia. Pero también destaca que estos desafíos se puede abordar, ya que el número de vulnerabilidades de código abierto y conflictos de licencia ha disminuido respecto al año anterior ".
Algunas de las tendencias de riesgo de código abierto más notables identificadas en el informe OSSRA de 2019 incluyen:
- Ha habido un aumento significativo en la adopción de código abierto. Noventa y seis por ciento de las bases de código auditadas en 2018 contenían componentes de código abierto, con un promedio de 298 componentes de fuente abierta por base de código en comparación con 257 en 2017.
- Los conflictos de licencias de código abierto pueden poner en riesgo la propiedad intelectual. El sesenta y ocho por ciento de las bases de código contenían algún tipo de conflicto de licencia de código abierto, y el 38% contenía componentes de código abierto sin licencia identificable.
- El uso de componentes 'abandonados' es común. El ochenta y cinco por ciento de las bases de código contenían componentes que estaban desactualizados por más de cuatro años o que no habían tenido desarrollo en los últimos dos años. Si un componente está inactivo y nadie lo mantiene, eso significa que nadie está abordando sus vulnerabilidades potenciales.
- Muchas organizaciones no logran parchar o actualizar sus componentes de código abierto. La edad promedio de las vulnerabilidades identificadas en 2018 Black Duck Audits fue de 6.6 años, un poco más alta que en 2017, lo que sugiere que los esfuerzos de remediación no han mejorado significativamente. El cuarenta y tres por ciento de las bases de código escaneadas en 2018 contenían vulnerabilidades de más de 10 años. Cuando se ve en el contexto de la Base de datos de vulnerabilidad nacional y se agregan más de 16,500 nuevas vulnerabilidades en 2018, sus procesos de parches claros deben escalarse para adaptarse a un mayor nivel de divulgación.
- No todas las vulnerabilidades son iguales, pero muchas organizaciones ni siquiera están abordando las más riesgosas. Más del 40% de las bases de código contenían al menos una vulnerabilidad de código abierto de alto riesgo.
El informe señala que el uso de software de código abierto no es un problema en sí mismo y, de hecho, es esencial para la innovación del software. Sin embargo, no identificar y administrar de manera proactiva los riesgos de seguridad y de licencia asociados con el uso de componentes de código abierto puede ser muy perjudicial. A pesar de los factores de riesgo identificados, los datos de OSSRA de 2019 sugieren que, a raíz de la violación de Equifax, un aumento en el conocimiento del riesgo de fuente abierta y la maduración de las soluciones de análisis de la composición de software comercial ha llevado a un avance:
Las organizaciones están mejorando en la gestión de vulnerabilidades de seguridad de código abierto. El sesenta por ciento de las bases de código auditadas en 2018 contenía al menos una vulnerabilidad, aún significativa, pero mucho mejor que la cifra del 78% de 2017.
En general, el cumplimiento de la licencia de código abierto también ha mejorado. El sesenta y ocho por ciento de las bases de código auditadas de 2018 contenían componentes con conflictos de licencia, en comparación con el 74% en 2017.
El informe completo se puede descargar en el siguiente link: https://bit.ly/2J5dAAo
