Publicado el

Resumen del editor: El software de código abierto (OSS) no se trata solo de que dicho software sea de libre adopción, sino también del enorme cuerpo de buen trabajo realizado por codificadores y auditores voluntarios en el mundo, creando un buen software y componentes de código para que cualquiera pueda adoptar. De acuerdo con el último informe OSSRA (Open Source Security and Risk Analysis) 2021 del Synopsys Cybersecurity Research Center (CyRC), muchas industrias adoptan OSS de manera amplia y profunda, incluyendo martech, salud, servicios financieros, fintech, retail y e-commerce. Entonces, ¿cuáles son los riesgos de adoptar OSS? La versión del proveedor se encuentra a continuación.

El estudio de Synopsys muestra un repunte en los componentes de código abierto vulnerables, desactualizados y abandonados en el software comercial 

El análisis de más de 1,500 bases de códigos comerciales revela que la seguridad de código abierto, el cumplimiento de las licencias y los problemas de mantenimiento son omnipresentes en todos los sectores de la industria.

SINGAPUR, @mcgallen #microwireinfo, 14 de abril de 2021 , Synopsys, Inc. (Nasdaq: SNPS) lanzó hoy el Análisis de riesgos y seguridad de código abierto (OSSRA) 2021 informe. El informe, elaborado por el Centro de investigación de seguridad cibernética de Synopsys (CyRC), examina los resultados de más de 1,500 auditorías de bases de código comerciales, realizadas por el equipo de Servicios de Auditoría de Black Duck®. El informe destaca las tendencias en el uso de código abierto dentro de las aplicaciones comerciales y proporciona información para ayudar a los desarrolladores comerciales y de código abierto a comprender mejor el ecosistema de software interconectado del que forman parte. También detalla los riesgos generalizados que plantea el código abierto no administrado, incluidas las vulnerabilidades de seguridad, los componentes obsoletos o abandonados y los problemas de cumplimiento de licencias.

El informe OSSRA de 2021 afirma que el software de código abierto proporciona la base para la gran mayoría de aplicaciones en todas las industrias. También muestra que esas industrias, en diversos grados, están luchando por gestionar el riesgo de código abierto.

  • El 100% de las empresas auditadas en el sector de la industria de la tecnología de marketing, que incluye CRM de generación de leads y redes sociales, contenían código abierto en sus bases de código. El 95% de las bases de código de tecnología de marketing contenían vulnerabilidades de código abierto.
  • El 98% de las bases de código del sector sanitario contenían código abierto. El 67% de esas bases de código contenían vulnerabilidades.
  • El 97% de las bases de código del sector de servicios financieros / fintech contenían código abierto. Más del 60% de esas bases de código contenían vulnerabilidades.
  • El 92% de las bases de código en el sector minorista y de comercio electrónico contenía código abierto, y el 71% de las bases de código en ese sector contenían vulnerabilidades.

Aún más preocupante es el uso generalizado de componentes de código abierto abandonados. Un alarmante 91% de las bases de código contenían dependencias de código abierto que no tuvieron actividad de desarrollo en los últimos dos años, lo que significa que no hay mejoras de código ni correcciones de seguridad.

“Que más del 90% de las bases de código usaran código abierto sin actividad de desarrollo en los últimos dos años no es sorprendente”, dijo Tim Mackey, estratega principal de seguridad del Centro de Investigación de Seguridad Cibernética Synopsys. “A diferencia del software comercial, donde los proveedores pueden enviar información a sus usuarios, el código abierto depende del compromiso de la comunidad para prosperar. Cuando se adopta un componente de código abierto en una oferta comercial sin ese compromiso, la vitalidad del proyecto puede disminuir fácilmente. Los proyectos huérfanos no son un problema nuevo, pero cuando ocurren, abordar los problemas de seguridad se vuelve mucho más difícil. La solución es simple: invierta en apoyar los proyectos de los que depende para su éxito ".

Otras tendencias de riesgo de código abierto identificadas en el informe OSSRA de 2021 incluyen:

  • Los componentes de código abierto obsoletos en el software comercial son la norma. El 85% de las bases de código contenían dependencias de código abierto que estaban desactualizadas durante más de cuatro años. A diferencia de los proyectos abandonados, estos componentes de código abierto obsoletos tienen comunidades de desarrolladores activas que publican actualizaciones y parches de seguridad que sus consumidores comerciales posteriores no están aplicando. Más allá de las obvias implicaciones de seguridad de descuidar la aplicación de parches, el uso de componentes de código abierto obsoletos puede contribuir a una deuda técnica difícil de manejar en forma de problemas de funcionalidad y compatibilidad asociados con actualizaciones futuras.
  • La prevalencia de vulnerabilidades de código abierto tiende en la dirección equivocada. En 2020, el porcentaje de bases de código que contienen componentes de código abierto vulnerables aumentó al 84%, un aumento del 9% con respecto a 2019. De manera similar, el porcentaje de bases de código que contienen vulnerabilidades de alto riesgo aumentó del 49% al 60%. Varias de las 10 principales vulnerabilidades de código abierto que se encontraron en las bases de código en 2019 reaparecieron en las auditorías de 2020, todas con aumentos porcentuales significativos.
  • Más del 90% de las bases de código auditadas contenían componentes de código abierto con conflictos de licencia, licencias personalizadas o ninguna licencia. El 65% de las bases de código auditadas en 2020 contenían conflictos de licencias de software de código abierto, por lo general relacionados con la Licencia Pública General GNU. El 26% de las bases de código usaban código abierto sin licencia o con una licencia personalizada. Las tres cuestiones a menudo deben evaluarse para detectar posibles infracciones de propiedad intelectual y otras inquietudes legales, especialmente en el contexto de transacciones de fusiones y adquisiciones.

Para obtener más información sobre los riesgos potenciales asociados con el software de código abierto y cómo abordarlos, descargue una copia del Informe OSSRA 2021, Lea la blog, o regístrese para el 21 de abril Webinar.

Acerca del grupo de integridad del software Synopsys

Synopsys Software Integrity Group ayuda a los equipos de desarrollo a crear software seguro y de alta calidad, minimizando los riesgos y maximizando la velocidad y la productividad. Synopsys, líder reconocido en seguridad de aplicaciones, proporciona análisis estático, análisis de composición de software y soluciones de análisis dinámico que permiten a los equipos encontrar y corregir rápidamente vulnerabilidades y defectos en el código propietario, componentes de código abierto y comportamiento de las aplicaciones. Con una combinación de herramientas, servicios y experiencia líderes en la industria, solo Synopsys ayuda a las organizaciones a optimizar la seguridad y la calidad en DevSecOps y durante todo el ciclo de vida del desarrollo de software. Obtenga más información en synopsys.com/software.

Sobre Synopsys

Synopsys, Inc. (Nasdaq: SNPS) es el socio de Silicon to Software ™ para empresas innovadoras que desarrollan productos electrónicos y aplicaciones de software en las que confiamos todos los días. Como la decimoquinta compañía de software más grande del mundo, Synopsys tiene una larga trayectoria como líder mundial en automatización de diseño electrónico (EDA) e IP de semiconductores y también está aumentando su liderazgo en seguridad de software y soluciones de calidad. Ya sea que sea un diseñador de sistema en chip (SoC) que crea semiconductores avanzados o un desarrollador de software que escribe aplicaciones que requieren la máxima seguridad y calidad, Synopsys tiene las soluciones necesarias para ofrecer productos innovadores, seguros y de alta calidad. Obtenga más información en synopsys.com.

###