Las empresas se están alejando lentamente del software de código abierto, debido a los crecientes temores de los riesgos de seguridad que provienen de los elementos de código abierto, según ha demostrado una nueva investigación.
El gigante de la virtualización VMware publicó recientemente un informe que afirma que la cantidad de empresas dispuestas a implementar software de código abierto en entornos de producción cayó del 95 % el año pasado al 90 % este año.
Las dos mayores preocupaciones que obligan a las empresas a buscar en otra parte son la capacidad de identificar y abordar las vulnerabilidades que se encuentran en el software de código abierto. De hecho, la dependencia de la comunidad para abordar fallas y vulnerabilidades está en la parte superior de la lista (61 %), seguida de mayores riesgos de seguridad (53 %) y la falta de acuerdos de nivel de servicio (SLA) para parches de la comunidad. (50%).
Para abordar el problema, a las empresas les encantaría ver mejoras en la seguridad del empaque, ya que el empaque del software de código abierto es esencial para asegurar la cadena de suministro, afirma el informe.
Aparentemente, hay demasiadas herramientas, demasiadas tareas manuales y demasiados equipos trabajando en el empaque en la mayoría de las empresas, lo que hace que el proceso sea lento, ineficiente y riesgoso.
Cuando se les preguntó qué capacidades de paquetes de software mejorarían la seguridad, casi dos tercios (60 %) agradecerían el acceso inmediato a parches de seguridad confiables para aplicaciones o tiempos de ejecución, dependencias y componentes del sistema operativo, mientras que la mitad (55 %) desearía una visibilidad centralizada de todos los análisis. , ya que simplificaría las auditorías de seguridad. La mitad (51 %) también desea automatizar el análisis CVE y de virus para cada contenedor.
Si bien el software de código abierto sigue siendo una parte indispensable de cada proyecto, esta no es la primera vez que se plantean cuestiones de seguridad. En junio pasado, la firma de seguridad cibernética Snyk, junto con la Fundación Linux, publicaron un informe que afirmaba que el software de código abierto representa un «riesgo de seguridad significativo».
Basado en una encuesta de más de 550 encuestados, así como en datos extraídos de 1300 millones de proyectos de código abierto a través de Snyk Open Source, el informe establece que dos de cada cinco empresas (41 %) no confían en la seguridad de su código fuente abierto.
Se encontró que el proyecto promedio de desarrollo de aplicaciones tiene 49 vulnerabilidades, así como 80 dependencias directas. Por lo general, ahora se necesitan 110 días para remediar una vulnerabilidad en un proyecto de código abierto, frente a los 49 días de hace cuatro años.