Nueva investigación de linaje (se abre en una pestaña nueva) cubrir «decenas de miles» de proyectos de código abierto ha descubierto cuántas vulnerabilidades hay en el software que muchos de nosotros usamos, y cuántas no tienen solución.
El estudio se asemeja software de código abierto (OSS) a un iceberg, por lo que más del 80% del proyecto es invisible. En general, Lineage descubrió que el 82% de todo el OSS es «inherentemente riesgoso».
Las fallas de seguridad desconocidas y dudosas son lo suficientemente preocupantes, pero la compañía enfocada en la seguridad señala que muchos desarrolladores están felices de tomar prestado y usar código de otros proyectos, dejando vulnerabilidades que la segunda parte no puede reparar.
Inquietudes sobre el código fuente abierto
La gran dependencia de los desarrolladores externos es posiblemente el hallazgo más preocupante del estudio, que descubrió que solo alrededor de un tercio (32 %) del software de Apache había sido escrito por Apache. Los otros dos tercios comprendían dependencias de otros proyectos.
El servidor HTTP de Apache alimenta aproximadamente dos de cada cinco de todos los sitios web, con alrededor de otros 320 proyectos de código abierto activos actualmente bajo la Fundación. Según Lineaje, «ASF no puede parchear la mayoría de las vulnerabilidades».
El CEO y cofundador de Lineaje, Javed Hasan, explicó que se ensambla más código que se construye, por lo que “es imperativo que las organizaciones de hoy comprendan que el software de código abierto tiene riesgos y es manipulable, incluso si es muy popular o lo proporciona una marca establecida. ”
Hasan continúa: «Los desarrolladores no tienen visión de rayos X para ver el interior de un componente de software que incluyen, ni la mayoría de los selectores de código abierto son expertos en seguridad». La solución, dice, es adoptar herramientas de gestión de la cadena de suministro de software para mejorar el control de riesgos.