Hace poco se dio a conocer la publicación de un nuevo informe de la firma de seguridad para desarrolladores Snyk y la Fundación Linux, sobre la investigación que realizaron en conjunto del estado de la seguridad del software de código abierto.
En su publicación detallan que los resultados no resultan alentadores para las empresas, pues existe una gran variedad de riesgos de seguridad significativos que resultan del uso generalizado de software de código abierto dentro del desarrollo de aplicaciones modernas, así como también cuántas organizaciones están mal preparadas actualmente para administrar estos riesgos de manera efectiva.
Específicamente, el informe encontró:
Más de cuatro de cada diez (41%) organizaciones no tienen mucha confianza en la seguridad de su software de código abierto;
El proyecto de desarrollo de aplicaciones promedio tiene 49 vulnerabilidades y 80 dependencias directas (código fuente abierto llamado por un proyecto); y,
El tiempo que se tarda en corregir vulnerabilidades en proyectos de código abierto ha aumentado constantemente, más del doble de 49 días en 2018 a 110 días en 2021.
Se menciona que en general un proyecto de desarrollo de aplicaciones tiene un promedio de 49 vulnerabilidades y 80 dependencias directas. Además, el tiempo requerido para solucionar vulnerabilidades en proyectos de código abierto ha aumentado constantemente, más del doble de 49 días en 2018 a 110 días en 2021.
» Los desarrolladores de software de hoy tienen sus propias cadenas de suministro: en lugar de ensamblar piezas de automóviles, ensamblan código uniendo los componentes de código abierto existentes con su código único. Si esto conduce a una mayor productividad e innovación,“, explica Matt Jarvis, Director de Relaciones con los Desarrolladores de Snyk . Junto con la Fundación Linux, planeamos aprovechar estos hallazgos para educar y equipar aún más a los desarrolladores de todo el mundo, permitiéndoles seguir construyendo rápido, mientras se mantienen seguros «.
Entre otros resultados, solo el 49% de las organizaciones cuentan con una política de seguridad para el desarrollo o uso de software libre (y esta cifra es solo del 27% para medianas y grandes empresas). Mientras que el 30% de las organizaciones sin una política de seguridad de software libre reconocen abiertamente que nadie en su equipo se ocupa directamente de la seguridad del software libre.
La complejidad de la cadena de suministro también es un problema, con más de una cuarta parte de los encuestados indicando que están preocupados por el impacto de seguridad de sus dependencias directas. Solo el 18% dice tener confianza en los controles que maneja.
Hasta este punto, es importante resaltar dos situaciones, la primera de ellas es en el momento en el que los desarrolladores incorporan un componente de código abierto en sus aplicaciones, estas inmediatamente se vuelven dependientes de ese componente y están en riesgo si ese componente contiene vulnerabilidades.
La otra y que se ha visto frecuentemente en los últimos años es que este riesgo también se ve agravado por las dependencias indirectas o transitivas, que son las dependencias de las «otras dependencias», aquí muchos desarrolladores ni siquiera conocen estas dependencias, lo que las hace aún más difíciles de rastrear y proteger.
Con ello, podemos entender un poco que el informe muestra cuán real es este riesgo, con docenas de vulnerabilidades descubiertas en muchas dependencias directas en cada aplicación evaluada. Dicho esto, hasta cierto punto, los encuestados son conscientes de las complejidades de seguridad creadas por el código abierto en la cadena de suministro de software actual:
Más de una cuarta parte de los encuestados señalaron que les preocupa el impacto en la seguridad de sus dependencias directas;Solo el 18% de los encuestados dijeron que confían en los controles que tienen para sus dependencias transitivas; y,El cuarenta por ciento de todas las vulnerabilidades se encontraron en dependencias transitivas.
Tambien es importante mencionar que si dichas empresas o desarrolladores no están «seguros» con el software que utilizan, muchos pensaremos en lo más lógico, pues que «paguen» o «apoyen al desarrollo, ya sea destinando recursos o desarrolladores», pero aquí en este punto es donde entra uno de los grandes debates del software de código abierto, en donde si el open source debe ser de «paga».
Como tal existen muchos ejemplos de software de código abierto que maneja dos versiones, que son de paga y gratuito, e incluso que solo es de paga, peor el código fuente está disponible.
Por otro lado, tambien se ha visto movimientos por parte de desarrolladores y grandes empresas, en el cual deciden cambiar el modelo de distribucion o pasar a un modelo de pago, por ejemplo QT.
Sin más, para aquellos interesados en poder conocer más al respecto sobre la nota, pueden consultar los detalles en el siguiente enlace.