Les vulnerabilitats de seguretat del programari de codi obert de vegades passen desapercebudes durant més de quatre anys. Aquest és una de les troballes clau de l'últim informe State of the Octoverse de la plataforma d'administració i allotjament de desenvolupament de programari GitHub.
No obstant això aquesta afirmació no és de el tot certa, ja que prenent com a base l'avanç tecnològic i el que en els últims anys moltes grans empreses i desenvolupadors s'han sumant a l'programari de codi obert, això ha permès tenir un avanç cada vegada més accelerat pel que fa a desenvolupament, creació d'eines per a proves i sobretot de detecció de vulnerabilitats.
Tot i que encara és una la realitat és que el finançament insuficient (Que condueix a una reducció dels recursos humans) és la majoria de les vegades un obstacle per a la recerca i el descobriment d'aquestes vulnerabilitats.
Heartbleed, per exemple, és una vulnerabilitat de programari present dins la biblioteca de criptografia OpenSSL des de març de 2012. Permet a un atacant llegir la memòria d'un servidor o un client per recuperar utilitzada durant una comunicació amb el Protocol de seguretat de la capa de transport (TLS). La falla que afecta molts serveis d'Internet no es va descobrir fins al març de 2014 i es va fer pública a l'abril de 2014. Això va deixar una finestra de dos anys perquè els hackers ataquessin milers de servidors.
La vulnerabilitat suposadament va acabar en el repositori d'OpenSSL per error arran d'una proposta d'un desenvolupador voluntari per corregir errors i millorar les funcions.
Els defectes d'aquest tipus (Introduïts per error) representen el 83% dels descoberts en projectes de codi obert allotjats en GitHub. No obstant això, l'últim informe State of the Octoverse afirma que el 17% són vulnerabilitats introduïdes intencionadament per tercers maliciosos.
Aquestes són xifres que han de completar-se amb les d'un informe recent de Risksense que emfatitza que les falles en el programari de codi obert estan en constant creixement. Els projectes de TI es basen cada vegada més en el codi obert, el que explica el creixent interès dels pirates en l'àmbit.
Una vulnerabilitat pot causar estralls en el seu treball i causar problemes de seguretat a gran escala. No obstant això, la majoria de les vulnerabilitats es deuen a errors, no a atacs maliciosos.
A l'confiar en el codi obert quan pot, el seu equip es beneficia de totes les correccions trobades i remeiades per la comunitat. El temps per posar remei és un component important per a tots els equips de devops
El model de finançament de l'esfera de el codi obert es troba entre els factors que més probablement expliquin per què les vulnerabilitats de programari passen desapercebudes durant moments tan importants. La Iniciativa d'Infraestructura Central (CIR) és un dels pocs projectes per finançar i donar suport a projectes de programari de codi obert i gratuït que són essencials per al funcionament d'Internet i altres grans sistemes d'informació.
La majoria dels projectes en GitHub es basen en programari de codi obert. Aquesta anàlisi va incloure repositoris públics de codi obert amb al menys una contribució a cada mes entre el 10.1.2019 i el 30.09.2020.
Aquest últim ha estat objecte d'un anunci després de la vulnerabilitat crítica heartbleed en OpenSSL que s'utilitza en milions de llocs web. Problema: CII es basa en contribucions d'actors ben establerts en el món del programari propietari. Facebook, VMWare, Microsoft, Comcast i Oracle (per nomenar només aquestes empreses) financen la Fundació Linux i, per tant, projectes com la Iniciativa d'Infraestructura Central (CIR).
Això els dóna seients en les diferents juntes de presa de decisions i, per tant, cert control sobre el que passa en l'esfera de el codi obert. Bryan Lunduke, ex membre de la Junta Directiva d'openSUSE, analitza aquest estat de coses amb més detall.
La conseqüència immediata és que els projectes de codi obert que es beneficien del finançament són aquells dels quals es basen principalment les seves infraestructures.
Finalment, si estàs interessat en conèixer més a l'respecte, Pots consultar el següent lloc web on podràs trobar els informes recopilats.