Las vulnerabilidades de seguridad del software de código abierto a veces pasan desapercibidas durante más de cuatro años. Este es uno de los hallazgos clave del último informe State of the Octoverse de la plataforma de administración y alojamiento de desarrollo de software GitHub.
Sin embargo esta afirmación no es del todo cierta, ya que tomando como base el avance tecnológico y el que en los últimos años muchas grandes empresas y desarrolladores se han sumando al software de código abierto, esto ha permitido tener un avance cada vez más acelerado en cuanto a desarrollo, creación de herramientas para pruebas y sobre todo de detección de vulnerabilidades.
Aun que aún es una la realidad es que la financiación insuficiente (que conduce a una reducción de los recursos humanos) es la mayoría de las veces un obstáculo para la búsqueda y el descubrimiento de estas vulnerabilidades.
Heartbleed, por ejemplo, es una vulnerabilidad de software presente dentro de la biblioteca de criptografía OpenSSL desde marzo de 2012. Permite a un atacante leer la memoria de un servidor o un cliente para recuperar utilizada durante una comunicación con el Protocolo de seguridad de la capa de transporte (TLS). La falla que afecta a muchos servicios de Internet no se descubrió hasta marzo de 2014 y se hizo pública en abril de 2014. Eso dejó una ventana de dos años para que los hackers atacaran miles de servidores.
La vulnerabilidad supuestamente terminó en el repositorio de OpenSSL por error a raíz de una propuesta de un desarrollador voluntario para corregir errores y mejorar las funciones.
Los defectos de este tipo (introducidos por error) representan el 83% de los descubiertos en proyectos de código abierto alojados en GitHub. Sin embargo, el último informe State of the Octoverse afirma que el 17% son vulnerabilidades introducidas intencionalmente por terceros maliciosos.
Estas son cifras que deben completarse con las de un informe reciente de Risksense que enfatiza que las fallas en el software de código abierto están en constante crecimiento. Los proyectos de TI se basan cada vez más en el código abierto, lo que explica el creciente interés de los piratas en el ámbito.
Una vulnerabilidad puede causar estragos en su trabajo y causar problemas de seguridad a gran escala. Sin embargo, la mayoría de las vulnerabilidades se deben a errores, no a ataques maliciosos.
Al confiar en el código abierto cuando puede, su equipo se beneficia de todas las correcciones encontradas y remediadas por la comunidad. El tiempo para remediar es un componente importante para todos los equipos de DevOps
El modelo de financiación de la esfera del código abierto se encuentra entre los factores que más probablemente expliquen por qué las vulnerabilidades del software pasan desapercibidas durante momentos tan importantes. La Iniciativa de Infraestructura Central (CII) es uno de los pocos proyectos para financiar y apoyar proyectos de software de código abierto y gratuito que son esenciales para el funcionamiento de Internet y otros grandes sistemas de información.
La mayoría de los proyectos en GitHub se basan en software de código abierto. Este análisis incluyó repositorios públicos de código abierto con al menos una contribución en cada mes entre el 10.1.2019 y el 30.09.2020.
Este último ha sido objeto de un anuncio tras la vulnerabilidad crítica Heartbleed en OpenSSL que se utiliza en millones de sitios web. Problema: CII se basa en contribuciones de actores bien establecidos en el mundo del software propietario. Facebook, VMWare, Microsoft, Comcast y Oracle (por nombrar solo estas empresas) financian la Fundación Linux y, por lo tanto, proyectos como la Iniciativa de Infraestructura Central (CII).
Esto les da asientos en las distintas juntas de toma de decisiones y, por lo tanto, cierto control sobre lo que sucede en la esfera del código abierto. Bryan Lunduke, ex miembro de la Junta Directiva de openSUSE, analiza este estado de cosas con más detalle.
La consecuencia inmediata es que los proyectos de código abierto que se benefician de la financiación son aquellos de los que se basan principalmente sus infraestructuras.
Finalmente, si estás interesado en conocer más al respecto, puedes consultar el siguiente sitio web en donde podrás encontrar los informes recopilados.