Linux

Cómo las vulnerabilidades de seguridad de código abierto amenazan a las organizaciones

0 0 3 minutos de lectura
Cómo las vulnerabilidades de seguridad de código abierto amenazan a las organizaciones

La mayoría de las bases de código fuente abiertas que se encuentran en las aplicaciones comerciales analizadas por Synopsys contienen vulnerabilidades de seguridad.

open source
Imagen: Getty Images/iStockphoto

Las aplicaciones que usan código fuente abierto ofrecen muchos beneficios, entre los que se incluyen transparencia, flexibilidad, rentabilidad y apoyo de la comunidad. Pero, ¿qué tan bien funcionan estos productos en términos de seguridad? Si bien un enfoque basado en la comunidad para el código abierto significa que los agujeros de seguridad deben identificarse rápidamente, parchearlos y aplicar parches es otra historia.

Mirar: Los 5 principales lenguajes de programación que deben aprender los administradores de sistemas (PDF gratuito) (República tecnológica)

en un informe publicado el martesLa empresa de automatización de diseño Synopsys estudió aplicaciones comerciales que usan código fuente abierto para comprender cómo se enfrentan a las vulnerabilidades de seguridad.

Todas las empresas que se ven en la industria de la tecnología de marketing, incluidos los CRM de generación de leads y las redes sociales, incluyen código fuente abierto en sus aplicaciones. De estos, el 95% del código base tiene vulnerabilidades de código abierto. Alrededor del 98 % del código base en atención médica contiene código fuente abierto, del cual el 67 % tiene vulnerabilidades de seguridad.

Alrededor del 97 % del código base en la industria de servicios financieros contiene código fuente abierto, del cual más del 40 % es vulnerable. El 92% de las bases de código analizadas en el comercio minorista y el comercio electrónico usaban código abierto, y se descubrió que el 71% de ellas tenían vulnerabilidades de seguridad.

LEER  Cómo implementar la plataforma de búsqueda empresarial Apache Solr en Ubuntu Server 22.04

Muchas brechas de seguridad son el resultado de componentes de código abierto obsoletos. Un 91 % del código base tiene dependencias de código abierto, sin actividad de desarrollo en los últimos dos años, lo que significa que no hay mejoras en el código ni parches de seguridad.

«No es sorprendente que más del 90 por ciento del código base haya utilizado código abierto sin actividad de desarrollo en los últimos dos años», dijo Tim Mackey, estratega jefe de seguridad en el Centro de Investigación de Seguridad Cibernética de Synopsys, en un comunicado. información a los usuarios, el código abierto se basa en la participación de la comunidad para prosperar. Los proyectos aislados no son un problema nuevo, pero una vez que surgen, se vuelve más difícil abordar las preocupaciones de seguridad».

Los componentes obsoletos de código abierto también jugaron un papel en la brecha de seguridad. Alrededor del 85 % de las dependencias de código abierto en el código base verificado por Synopsys tenían más de cuatro años de desactualización. Estos componentes cuentan con el respaldo de una comunidad de desarrolladores activa que publica correcciones de seguridad que no necesariamente aplican los clientes comerciales.

Publicaciones relacionadas

Los defectos de código abierto están en aumento. El porcentaje de bases de código con componentes vulnerables de código abierto alcanzó el 84 % en 2023, un aumento del 9 % con respecto a 2023. Al mismo tiempo, el porcentaje de bases de código con vulnerabilidades de alto riesgo aumentó del 49 % al 60 %. Varias de las principales fallas de código abierto encontradas en la base de código en 2023 aún existen en 2023.

Para ayudar a las organizaciones a protegerse de las vulnerabilidades de código abierto, Mackey compartió los siguientes consejos con Tecnopedia:

  • Crear un manifiesto de activos de código abiertoLa reducción de la exposición a vulnerabilidades comienza con un inventario completo de sus activos de código abierto. Idealmente, este manifiesto debe actualizarse cada vez que se implementa software nuevo o actualizado, para que pueda saber si todo se ha parcheado correctamente. Asegúrese de incluir la fuente de cada componente de código abierto, ya que esto le indicará dónde encontrar el parche correcto.
  • Revise cómo los proveedores manejan los parchesCuando compre un nuevo dispositivo o aplicación, vea cómo el proveedor lanza parches de software. Si no está seguro, póngase en contacto con el equipo de soporte.
  • Considere diferentes proveedores si es necesarioSi un proveedor no puede ayudarlo o no parece estar actualizando su producto, eso significa que puede ser el momento de buscar un proveedor diferente. Si los proveedores no siguen el ritmo de los parches, es posible que la seguridad no sea la prioridad que merece.
  • Revise los parches de seguridad antes de aplicarlosAsegúrese de revisar los parches de seguridad en su totalidad antes de aplicarlos. Esto es especialmente importante para el código fuente abierto porque los desarrolladores no conocen su entorno específico y no pueden probarlo.

LEER  Cómo crear una copia de seguridad de una máquina virtual de VirtualBox en un host Linux
0 0 3 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba