Una nueva investigación de Snyk y Linux Foundation revela importantes problemas de seguridad que surgen de la ubicuidad del software de código abierto.
Contenidos
El estado de la seguridad de código abierto muestra que muchas empresas carecen de estrategias para abordar las vulnerabilidades de las aplicaciones que resultan de la reutilización del código.
BOSTON — 21 de junio de 2022 — snykel líder en seguridad para desarrolladores, y La Fundación Linuxuna organización global sin fines de lucro que permite la innovación a través del código abierto, anunció hoy los resultados de su primer informe de investigación colaborativa. El estado de la seguridad de código abierto. Los hallazgos resaltan los importantes riesgos de seguridad que plantea el uso generalizado de software de código abierto en el desarrollo de aplicaciones modernas y cuántas organizaciones actualmente no están preparadas para administrar estos riesgos de manera efectiva. Específicamente, el informe encontró: Más de cuatro de cada diez (41%) empresas no tienen mucha confianza en la seguridad de su software de fuente abierta; el proyecto de desarrollo de aplicaciones promedio tiene 49 vulnerabilidades y 80 dependencias directas (código fuente abierto llamado por un proyecto); y El tiempo que se tarda en reparar vulnerabilidades en proyectos de código abierto ha aumentado constantemente, más del doble de 49 días en 2018 a 110 días en 2021. “Los desarrolladores de software de hoy en día tienen sus propias cadenas de suministro: en lugar de ensamblar piezas de automóviles, ensamblan el código parcheando los componentes de código abierto existentes junto con su código único. Si bien esto conduce a una mayor productividad e innovación, también ha planteado importantes problemas de seguridad”, dijo Matt Jarvis, director de relaciones con desarrolladores de Snyk. “Este informe único encontró evidencia generalizada que sugiere que la industria es ingenua sobre el estado actual de la seguridad de código abierto. Junto con Linux Foundation, planeamos usar estos hallazgos para educar y equipar a los desarrolladores del mundo para que evolucionen rápidamente mientras se mantienen seguros. Fundación de seguridad de origen (OpenSSF). «Este estudio muestra claramente que el riesgo es real y que la industria aún necesita trabajar más de cerca para alejarse de las malas prácticas de seguridad de la cadena de suministro de software o código abierto». y The Linux Foundation discutirán los hallazgos completos del informe, así como las acciones recomendadas para mejorar la seguridad del desarrollo de software de código abierto durante una serie de próximos eventos: Sesión en Open Source Summit North America en Austin, TX, titulada «Abordar los desafíos de ciberseguridad en el software de código abierto‘ que tendrá lugar el martes 21 de junio a las 12:00 p. m. hora local (CT). Webinar que tendrá lugar el martes 28 de junio a la 1:00 p. m. ET aquí.Webinar se llevará a cabo el miércoles 29 de junio a las 9 am ET, para registrarse, visítenos aquí.
El 41% de las empresas no tiene mucha confianza en la seguridad del software de código abierto
Los equipos modernos de desarrollo de aplicaciones usan código de todo tipo de lugares. Reutilizan código de otras aplicaciones que crean y buscan en repositorios de código para encontrar componentes de código abierto que proporcionen la funcionalidad que necesitan. El uso de código abierto requiere una nueva forma de pensar sobre la seguridad del desarrollador que muchas empresas aún no han adoptado. Considere esto: menos de la mitad (49%) de las organizaciones tienen una política de seguridad para el desarrollo o uso de OSS (y esa cifra es solo del 27% para organizaciones medianas y grandes); y Tres de cada diez (30 %) organizaciones sin una política de seguridad de código abierto reconocen abiertamente que nadie en su equipo está actualmente involucrado directamente con la seguridad de código abierto.
Proyecto promedio de desarrollo de aplicaciones: 49 vulnerabilidades en 80 dependencias directas
Cuando los desarrolladores integran un componente de código abierto en sus aplicaciones, inmediatamente se vuelven dependientes de ese componente y están en riesgo si ese componente contiene vulnerabilidades. El informe muestra cuán real es este riesgo, con docenas de vulnerabilidades descubiertas en muchas dependencias directas en cada aplicación evaluada. Este riesgo también se ve agravado por las dependencias indirectas o transitivas, que son las dependencias de sus dependencias. Muchos desarrolladores ni siquiera son conscientes de estas dependencias, lo que las hace aún más difíciles de rastrear y proteger. Sin embargo, los encuestados son algo conscientes de las complejidades de seguridad que el código abierto introduce en la cadena de suministro de software actual: más de una cuarta parte de los encuestados indicaron que les preocupan las implicaciones de seguridad de sus dependencias directas; solo el 18% de los encuestados dijeron que confían en los controles que tienen sobre sus dependencias transitivas; y el 40 por ciento de todas las vulnerabilidades se encontraron en dependencias transitivas.
Tiempo de reparación: Más del doble de 49 días en 2018 a 110 días en 2021
A medida que el desarrollo de aplicaciones se vuelve más complejo, los desafíos de seguridad que enfrentan los equipos de desarrollo también se vuelven más complejos. Si bien esto hace que el desarrollo sea más eficiente, el uso de software de código abierto aumenta el esfuerzo de corrección. El informe encontró que la reparación de vulnerabilidades en proyectos de código abierto lleva casi un 20 % más (18,75 %) que en proyectos propietarios.
Sobre el informe
The State of Open Source Security es una asociación entre Snyk y The Linux Foundation, con el apoyo de OpenSSF, Cloud Native Security Foundation, Continuous Delivery Foundation y Eclipse Foundation. El informe se basa en una encuesta de más de 550 encuestados en el primer trimestre de 2022 y datos de Snyk código abiertoque ha escaneado más de 1.300 millones de proyectos de código abierto.
Acerca de Snyk
Snyk es líder en seguridad para desarrolladores. Capacitamos a los desarrolladores de todo el mundo para crear aplicaciones seguras y equipar a los equipos de seguridad para satisfacer las demandas del mundo digital. Nuestro enfoque de desarrollador primero garantiza que las organizaciones puedan proteger todos los componentes críticos de sus aplicaciones desde el código hasta la nube, lo que resulta en una mayor productividad del desarrollador, crecimiento de los ingresos, satisfacción del cliente, ahorro de costos y una postura de seguridad mejorada en general. La plataforma de seguridad para desarrolladores de Snyk se integra automáticamente en el flujo de trabajo de un desarrollador y está diseñada específicamente para que los equipos de seguridad colaboren con sus equipos de desarrollo. Snyk ahora es utilizado por más de 1500 clientes en todo el mundo, incluidos líderes de la industria como Asurion, Google, Intuit, MongoDB, New Relic, Revolut y Salesforce.
Acerca de la Fundación Linux
La Fundación Linux es la organización elegida por los principales desarrolladores y empresas del mundo para construir ecosistemas que aceleren el desarrollo de tecnología abierta y la adopción comercial. Junto con la comunidad global de código abierto, resuelve los problemas tecnológicos más difíciles al crear la mayor inversión en tecnología compartida de la historia. Fundada en 2000, la Fundación Linux ofrece hoy herramientas, capacitación y eventos para escalar proyectos de código abierto que, en conjunto, crean un impacto económico inigualable por cualquier empresa. Visite www.linuxfoundation.org para obtener más información.