Los componentes de código abierto conllevan riesgos de seguridad sin la atención precisa, alerta un estudio

  • Seguridad

Los componentes de código abierto no reciben la atención de seguridad adecuada por parte de los desarrolladores, según un nuevo estudio de Vanson Bourne para Veracode. Sin ir más lejos, menos del 25% prueban los componentes en busca de vulnerabilidades en cada versión.

  Quizá te interese...

El estudio revela que solo el 52% de los desarrolladores que usan componentes comerciales o de código abierto en sus aplicaciones, actualizan esos componentes cuando se anuncia una nueva vulnerabilidad de seguridad, lo que evidencia “la falta de concienciación sobre la seguridad en las organizaciones y las expone al riesgo de una brecha de seguridad”.

Los procesos de desarrollo de software como DevSecOps han ayudado a mejorar la seguridad del código que escriben los programadores. Sin embargo, en esos mismos procesos de desarrollo se valora la velocidad y la eficiencia para mantenerse al día y poder satisfacer las demandas de la economía de las aplicaciones. Como resultado, los desarrolladores hacen uso de componentes que utilizan características y funcionalidades de proyectos y bibliotecas existentes.

El estudio muestra que el 83% de los encuestados usa componentes comerciales o de código abierto, o ambos, con un promedio de 73 componentes por aplicación. Aunque aumentan la eficiencia de los desarrolladores, y su uso se considera una buena práctica, estos componentes presentan riesgos de seguridad inherentes. En este sentido, el estudio dice que, a pesar de encontrar un promedio de 71 vulnerabilidades por aplicación introducidas a través del uso de componentes de terceros, solo el 23% de los encuestados realizaron pruebas de vulnerabilidades en los componentes en cada versión. Esto puede ser el resultado de que solo el 71 % de las organizaciones declaran contar con un programa formal de seguridad de aplicaciones (AppSec).

Además, solo el 53 % de las organizaciones mantiene un inventario de todos los componentes en sus aplicaciones. Además, CA Veracode echa mano del informe de seguridad sobre el estado de software 2017 para añadir que menos del 28% de las compañías hacen un análisis regular de composición para saber qué componentes forman parte de sus aplicaciones.

El estudio, realizado partir de 400 encuestas a desarrolladores de aplicaciones de Alemania, Estados Unidos y Gran Bretaña, también dice que el 44% de los equipos de desarrollo y el 31% de los de seguridad son, con más probabilidad, los responsables del mantenimiento de componentes de código abierto y comercial de terceros, lo que sugiere un movimiento hacia mayor responsabilidad del equipo de desarrollo.

“A medida que aumenta el conocimiento sobre los riesgos del código abierto, proporcionar a los desarrolladores las soluciones, la visibilidad y la formación para mitigar esos riesgos se convierte en un elemento clave de desarrollo en el ámbito de una fábrica de software moderna para poder construir aplicaciones mejores, más seguras y de forma más rápida”, concluye CA Veracode, a la vista de los resultados.