El 70% de las aplicaciones presenta fallos de seguridad de código abierto
- Vulnerabilidades
El software de código abierto tiene una gran variedad de fallos. La superficie de ataque de una aplicación no se limita a su propio código y al código de las bibliotecas incluidas, porque esas bibliotecas tienen sus propias dependencias. La aplicación de parches reduciría el riesgo.
Veracode ha publicado la investigación 'State of Software Security (SOSS): Open Source Edition' que encuentra que 7 de cada 10 aplicaciones tienen un fallo de seguridad en una biblioteca de código abierto en el escaneo inicial.
Recomendados: WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro |
Casi todas las aplicaciones modernas, incluidas las que se venden comercialmente, se crean utilizando algunos componentes de código abierto. Un solo defecto en una biblioteca puede afectar en cascada a todas las aplicaciones que aprovechan ese código. Según Chris Eng, director de investigación de Veracode, “el software de código abierto tiene una sorprendente variedad de fallos. La superficie de ataque de una aplicación no se limita a su propio código y al código de las bibliotecas incluidas explícitamente, porque esas bibliotecas tienen sus propias dependencias. En realidad, los desarrolladores están introduciendo mucho más código, pero si son conscientes y aplican los parches de manera adecuada, pueden reducir la exposición al riesgo".
Las bibliotecas de código abierto son ubicuas y presentan riesgos. Las bibliotecas más comúnmente incluidas están presentes en más del 75% de las aplicaciones para cada idioma. La mayoría de las bibliotecas defectuosas terminan en el código indirectamente: el 47% de esas bibliotecas defectuosas en las aplicaciones son transitivas; en otras palabras, no son introducidas directamente por los desarrolladores, sino que son arrastradas por las bibliotecas ascendentes. Los fallos introducidos por una biblioteca en la mayoría de las aplicaciones se pueden solucionar con solo una actualización de versión; generalmente no se requieren actualizaciones importantes de la biblioteca.
No todas las bibliotecas tienen vulnerabilidades y exposiciones comunes (CVE); esto significa que los desarrolladores no pueden confiar solo en las CVE para conocer los defectos de la biblioteca. Por ejemplo, más del 61% de las bibliotecas defectuosas en JavaScript contienen vulnerabilidades sin los CVE correspondientes.
Algunos ecosistemas lingüísticos tienden a atraer muchas más dependencias transitivas que otros. En más del 80% de las aplicaciones JavaScript, Ruby y PHP, la mayoría de las bibliotecas son dependencias transitivas.
Entre los fallos principales de OWASP, las debilidades en torno al control de acceso son las más comunes y representan más del 25% de todos los fallos. Cross-Site Scripting es la categoría de vulnerabilidad más común que se encuentra en las bibliotecas de código abierto, presente en el 30% de las bibliotecas, seguida de la deserialización insegura (23,5%) y el control de acceso roto (20,3%).