Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Al menos una vulnerabilidad de código abierto en el 84% de las bases de código.
Rohan Timalsina
22 de marzo de 2023 - Equipo de expertos TuxCare
En el escenario actual, en el que casi todo el software utiliza código abierto, se detectó al menos una vulnerabilidad conocida en el 84% de ellos. Los investigadores de la empresa de seguridad de aplicaciones Synopsys investigaron y encontraron vulnerabilidades en todas las bases de código comerciales y propietarias.
Además, los investigadores de Synopsys también descubrieron que había vulnerabilidades de alto riesgo en el 48% de las bases de código que analizaron. Estas vulnerabilidades han sido explotadas activamente, ya cuentan con pruebas de concepto documentadas o están clasificadas como vulnerabilidades de ejecución remota de código.
El informe Open Source Security and Risk Analysis (OSSRA) 2023 de Synopsys incluye datos sobre el cumplimiento de licencias de código abierto e información sobre vulnerabilidades. Además, su equipo de Servicios de Auditoría realizó las auditorías de bases de código incluidas en transacciones de fusiones y adquisiciones. El informe presenta las tendencias en el uso del código abierto en 17 sectores diferentes.
Se analizó un total de 1.481 bases de código en busca de vulnerabilidades y de conformidad con las licencias de código abierto, mientras que otras 222 bases de código se examinaron únicamente en busca de conformidad.
Aumenta la vulnerabilidad del código abierto
El informe de la OSSRA muestra que el número de vulnerabilidades de código abierto conocidas aumentó un 4% con respecto al año anterior. Todas las bases de código examinadas en el estudio procedían de empresas de los sectores aeroespacial, aviación, automoción, transporte y logística. En total, se constata que el 73% del código total incluye código de fuente abierta.
El informe de OSSRA también indica que el porcentaje de código de fuente abierta ha aumentado en las bases de código en todos los verticales de la industria en los últimos cinco años. Entre 2018 y 2022, la proporción de código de fuente abierta dentro de las bases de código examinadas aumentó un 163 % en el sector de la tecnología educativa.
En los sectores aeroespacial, aviación, automoción, transporte y logística, aumentó un 97%. Mientras que en los sectores manufacturero y logístico, el porcentaje aumentó un 163%.
Según el informe, se ha producido un aumento de las vulnerabilidades de alto riesgo en todos los sectores. Las empresas de los sectores aeroespacial, de aviación, automoción, transporte y logística experimentaron un aumento del 232 % de las vulnerabilidades de alto riesgo en 5 años. Las vulnerabilidades de alto riesgo en bases de código relacionadas con IoT han aumentado un 130% desde 2018.
Se detectaron varias vulnerabilidades de alto riesgo en el 63% de todos los códigos que tenían una puntuación de gravedad CVSS de 7 o superior. En el sector de la energía y las tecnologías limpias, el 78 % del código total era de código abierto, y de ese porcentaje, el 69 % poseía vulnerabilidades de alto riesgo.
Parches disponibles pero no aplicados
De las 1.481 bases de código analizadas por los investigadores, el 91% tenían versiones obsoletas de componentes de código abierto. Esto indica que había una actualización o parche disponible pero no se había aplicado.
Una posible explicación es que los equipos de DevSecOps pueden considerar que el riesgo de consecuencias imprevistas es mayor que los beneficios potenciales de aplicar la versión más reciente. Además, los investigadores sugieren que el tiempo y los recursos también podrían ser factores contribuyentes.
El informe destacaba que los equipos de devsecops pueden no estar al tanto de las nuevas versiones de los componentes de código abierto que están disponibles. En algunos casos, ni siquiera conocen la existencia de estos componentes.
Lista de materiales de software (SBOM)
Según el informe, la utilización de una lista de materiales de software (SBOM) puede ayudar a las organizaciones a prevenir la vulnerabilidad y mantener actualizado el código fuente abierto.
Un SBOM exhaustivo agrupa todos los componentes de código abierto utilizados en las aplicaciones, junto con información sobre licencias, versiones y estado de los parches. Mediante la creación de un SBOM de componentes de código abierto, las organizaciones pueden identificar rápidamente los componentes de alto riesgo y priorizar eficazmente las medidas correctoras necesarias.
Estas estadísticas de vulnerabilidades del código abierto son preocupantes, ya que indican que un gran número de organizaciones están descuidando medidas cruciales para proteger su código, lo que puede exponerlas a posibles amenazas de seguridad. Utilizando las herramientas adecuadas y estableciendo procesos eficaces, las organizaciones pueden salvaguardar su código y protegerse de posibles brechas de seguridad.
Las fuentes de este artículo incluyen un artículo de CSO.
