Noticias IBL | Austin, Texas
Muchas organizaciones actualmente no están preparadas para administrar de manera efectiva los riesgos de seguridad que resultan del uso de aplicaciones de código abierto, según una nueva investigación de The Linux Foundations y Snyk, una empresa líder en seguridad para desarrolladores. Las organizaciones también carecen de estrategias para abordar las vulnerabilidades de las aplicaciones que surgen de la reutilización del código.
El informe, titulado The State of Open Source Security, se publicó hoy durante la “Open Source Summit North America” , que atrae esta semana a miles de ejecutivos de la industria en una concurrida conferencia en Austin, Texas.
El estudio sugiere ingenuidad de la industria sobre el estado actual de la seguridad de código abierto.
Específicamente, el informe, basado en una encuesta de más de 550 encuestados y datos escaneados de 1.300 millones de proyectos de código abierto, señala:
- Más de cuatro de cada diez (41 %) organizaciones no confían mucho en la seguridad de su software de código abierto.
- Menos de la mitad (49 %) de las organizaciones tienen una política de seguridad para el desarrollo o el uso de OSS (y este número es solo el 27 % para las medianas y grandes empresas).
- Tres de cada diez (30 %) organizaciones sin una política de seguridad de código abierto reconocen abiertamente que nadie en su equipo está abordando directamente la seguridad de código abierto.
- El proyecto de desarrollo de aplicaciones promedio tiene 49 vulnerabilidades y 80 dependencias directas (código fuente abierto llamado por un proyecto).
- El tiempo que se tarda en corregir las vulnerabilidades en los proyectos de código abierto ha aumentado constantemente, más del doble de 49 días en 2018 a 110 días en 2021.
- El cuarenta por ciento de todas las vulnerabilidades se encontraron en dependencias transitivas. Solo el 18 % de los encuestados dijeron que confían en los controles que tienen para sus dependencias transitivas.
“Si bien el software de código abierto sin duda hace que los desarrolladores sean más eficientes y acelera la innovación, la forma en que se ensamblan las aplicaciones modernas también hace que sea más difícil protegerlas”, dijo Brian Behlendorf, gerente general de Open Source Security Foundation (OpenSSF) .
“Los desarrolladores de software de hoy en día tienen sus propias cadenas de suministro: en lugar de ensamblar piezas de automóviles, ensamblan código al unir componentes de código abierto existentes con su código único. Si bien esto conduce a una mayor productividad e innovación, también ha creado importantes problemas de seguridad”. dijo Matt Jarvis, Director de Relaciones con los Desarrolladores de Snyk.
El objetivo del informe es crear conciencia y aprovechar estos hallazgos para educar y equipar aún más a los desarrolladores, empoderándolos para continuar construyendo rápidamente, mientras se mantienen seguros.
