Investigación revela dónde se encuentra el 95% de las vulnerabilidades de código abierto
AS-093-2022
Fecha: 12/Dic/2022
Notificado por: Correo-CTI-FIRST
Resumen:
Una nueva investigación de Endor Labs ofrece una visión del uso desenfrenado pero a menudo no supervisado del software de código abierto existente, en el desarrollo de aplicaciones y los peligros que surgen de esta práctica común.
La investigación revela que el 95% de todas las vulnerabilidades se encuentran en dependencias transitivas: paquetes de código fuente abierto que los desarrolladores no seleccionan, pero que se incorporan indirectamente a los proyectos.
Una comparación entre las dos iniciativas comunitarias más populares para identificar proyectos críticos (Census II y OpenSSF Criticality Scores) revela que determinar la criticidad está lejos de ser simple. Las organizaciones deben decidir qué proyectos open source son críticos.
- Problemas futuros: el 50 % de los paquetes Census II más utilizados no tienen una versión lanzada en el año 2022 y el 30 % tuvo su última versión antes de 2018; esto puede causar problemas operativos y de seguridad graves en el futuro.
- Nuevo no significa seguro: al actualizar a la última versión de un paquete, todavía hay un 32% de posibilidades de que tenga vulnerabilidades conocidas.
Recomendaciones:
La seguridad debe ser considerada a lo largo de todo el ciclo de vida de los datos para los equipos de TI que se enfrentan constantemente a posibles filtraciones de datos, retrasos y características de seguridad inadecuadas que no se pueden reparar fácilmente.
Eliminar brechas de habilidades: Mejore las habilidades de sus equipos de DevOps.
Referencias:
https://www.helpnetsecurity.com/2022/12/09/vulnerabilities-open-source/
https://d2iq.com/