esenfrdeitptru

Investigación revela dónde se encuentra el 95% de las vulnerabilidades de código abierto

AS-093-2022

Fecha: 12/Dic/2022

Notificado por: Correo-CTI-FIRST

Resumen:

Una nueva investigación de Endor Labs ofrece una visión del uso desenfrenado pero a menudo no supervisado del software de código abierto existente, en el desarrollo de aplicaciones y los peligros que surgen de esta práctica común.

La investigación revela que el 95% de todas las vulnerabilidades se encuentran en dependencias transitivas: paquetes de código fuente abierto que los desarrolladores no seleccionan, pero que se incorporan indirectamente a los proyectos.

Una comparación entre las dos iniciativas comunitarias más populares para identificar proyectos críticos (Census II y OpenSSF Criticality Scores) revela que determinar la criticidad está lejos de ser simple. Las organizaciones deben decidir qué proyectos open source son críticos.

  • Problemas futuros: el 50 % de los paquetes Census II más utilizados no tienen una versión lanzada en el año 2022 y el 30 % tuvo su última versión antes de 2018; esto puede causar problemas operativos y de seguridad graves en el futuro.
  • Nuevo no significa seguro: al actualizar a la última versión de un paquete, todavía hay un 32% de posibilidades de que tenga vulnerabilidades conocidas.

Recomendaciones:

La seguridad debe ser considerada a lo largo de todo el ciclo de vida de los datos para los equipos de TI que se enfrentan constantemente a posibles filtraciones de datos, retrasos y características de seguridad inadecuadas que no se pueden reparar fácilmente.

Eliminar brechas de habilidades: Mejore las habilidades de sus equipos de DevOps.

Referencias:

https://www.helpnetsecurity.com/2022/12/09/vulnerabilities-open-source/
https://d2iq.com/