14.2 C
Uruguay
viernes, julio 1, 2022
InicioCiberseguridadMenos de la mitad de las organizaciones tienen una política de seguridad...

Menos de la mitad de las organizaciones tienen una política de seguridad de código abierto


Más de las dos quintas partes (41 %) de las organizaciones no confían en su seguridad de código abierto, y solo el 49 % afirma tener una política, según una nueva investigación de la Fundación Linux.



Copatrocinado por Snyk, el Estado de la seguridad de código abierto reporte se compiló a partir de entrevistas con 550 partes interesadas de código abierto y la tecnología de Snyk, que analizó más de 1300 millones de proyectos de código abierto.

El uso de repositorios de código abierto para acelerar el tiempo de comercialización está muy extendido en la comunidad de desarrolladores, pero puede exponer a las organizaciones a riesgos encubiertos si estos componentes contienen malware o vulnerabilidades.

Una vez que se utilizan dichos componentes, estos riesgos pueden ser difíciles de encontrar y remediar debido al conjunto a veces complejo de dependencias entre los componentes.

El proyecto de desarrollo de aplicaciones promedio contiene 49 vulnerabilidades que abarcan 80 dependencias directas, según el informe.

Sin embargo, estos desafíos a menudo se ven agravados por la presencia de dependencias indirectas. Alrededor del 40% de todas las vulnerabilidades se encontraron en estas dependencias transitivas, afirma el informe.

De manera preocupante, solo el 18 % de los encuestados dijeron que confían en los controles que tienen implementados para sus dependencias transitivas, y solo una cuarta parte dijo que incluso les preocupa el impacto en la seguridad de sus dependencias directas.




Los equipos de código abierto están luchando para cumplir con un requisito cada vez mayor para encontrar y corregir estos errores: el tiempo necesario para corregir las vulnerabilidades de código abierto es casi un 20% más largo que en los proyectos propietarios, afirma el informe. Se alargó de 49 días en 2018 a 110 días el año pasado.

Eso podría deberse a la escasez de personal: el 30% de las organizaciones sin una política de seguridad de código abierto dijeron que nadie en su equipo está abordando la seguridad de código abierto directamente.

“Si bien el software de código abierto sin duda hace que los desarrolladores sean más eficientes y acelera la innovación, la forma en que se ensamblan las aplicaciones modernas también hace que sea más difícil asegurarlas”, dijo Brian Behlendorf, gerente general de Open Source Security Foundation (OpenSSF).

“Esta investigación muestra claramente que el riesgo es real y que la industria debe trabajar aún más estrechamente para alejarse de las malas prácticas de seguridad de la cadena de suministro de software o código abierto”.

Figuras destacadas de la comunidad se reunieron en Washington en mayo para delinear su plan de 10 puntos para mejorar la seguridad de la cadena de suministro de software de código abierto.



Fuente

Anuncios

- Anuncios -
- Anuncios -

Otras Noticias