Desarrollo de software: solo el 52% de los componentes de código abierto reciben actualizaciones de seguridad

Seguridad Integral
May 3, 2018

350 Visitas Totales, 2 Visitas Hoy

Un estudio de CA Veracode señala que sólo el 23% de los componentes de terceros son puestos a prueba en cada etapa de desarrollo del software. En promedio, se encuentran 71 vulnerabilidades insertadas en las aplicaciones a través de código abierto o soluciones comerciales.

Una investigación realizada por CA Veracode, empresa adquirida por CA Technologies, aclara las diferencias entre la seguridad e higiene de los componentes de código abierto. De acuerdo con la encuesta, casi la mitad de los programadores (48%) no actualiza las soluciones desarrolladas que utilizan componentes de código abierto o comerciales, incluso cuando el mercado divulga una nueva vulnerabilidad de seguridad. Este y otros datos destacan la falta de concienciación de las organizaciones en seguridad, poniéndolas bajo riesgo.

Nuevas técnicas para el desarrollo de software, como el DevSecOps, que trabaja con la seguridad desde el comienzo del proceso, mejoran la calidad de los códigos. Esta es una metodología que valora la velocidad y eficiencia para acompañar las demandas del mercado, y hace que los desarrolladores busquen recursos y funcionalidades de proyectos ya existentes. Según la encuesta, el 83% de los entrevistados utilizan, en promedio, 73 componentes de terceros durante la producción de un software.

Aunque los componentes aumenten la eficiencia de los desarrolladores y su uso sea recomendado, estos normalmente presentan riesgos de seguridad, apunta el estudio. A pesar de que el 71% de las compañías afirman tener un programa formal de seguridad de aplicaciones (AppSec), sólo el 23% de los encuestados ponen a prueba las vulnerabilidades de los componentes en cada release. Según la investigación, se encuentra una media de 71 vulnerabilidades, insertadas por códigos de terceros, en cada aplicación.

Además, solo el 53% de las organizaciones mantienen un inventario de todos los componentes utilizados en sus aplicaciones. De acuerdo con The State of Software Security Report 2017, menos del 28% de las empresas realizan análisis regulares sobre la composición de sus softwares para entender qué componentes están incorporados en sus aplicaciones.

El informe muestra que los equipos de desarrollo (44%) o seguridad (31%) son los principales responsables del mantenimiento de componentes de terceros, lo que aumenta la responsabilidad del equipo de desarrollo. Con la concienciación sobre el riesgo de código abierto cada vez mayor, es importante proveer soluciones, entrenamiento y visibilidad a los desarrolladores para mitigar los riesgos, como un elemento fundamental del enfoque de desarrollo de la Moderna Fábrica de Software, que ayuda a desarrollar mejores aplicaciones, más seguras y con más rapidez.