Las empresas maduran su estrategia de seguridad para software de código abierto

Software y Apps

28 JUN 2022

El software de código abierto está abriéndose camino en el entorno empresarial, proporcionando beneficios al desarrollo de aplicaciones y reduciendo los costes con respecto a las soluciones propietarias. En un principio las organizaciones no prestaban la debida atención a la seguridad de estas herramientas, pero ahora están madurando en este aspecto, estableciendo políticas y equipos de seguridad dedicados, una estrategia que está dando resultados positivos.

Recomendados:

Informe. Tendencias tecnológicas 2022 Leer

Impacto económico de una plataforma de Comunicaciones unificadas Leer

Empresas nativas digitales. Cómo elegir la tecnología correcta para mi empresa Leer

Muchas empresas están abandonando el enfoque tradicional de apostar por software propietario, debido a su coste elevado y a las limitaciones de interactividad con otras plataformas, que frenaban el desarrollo interno de aplicaciones. En su lugar, están optando cada vez más por software de código abierto (OSS), adoptando soluciones que facilitan el trabajo de los desarrolladores y aceleran la puesta en marcha de nuevas herramientas. Al tratarse de software de código abierto, basado en contribuciones externas, la seguridad ha sido una preocupación creciente entre las empresas y líderes de TI, lo que ha llevado a muchas organizaciones a establecer nuevas políticas de seguridad para estas herramientas, que guían a los desarrolladores en su uso.

Una encuesta realizada por la empresa de seguridad Snyk y la Linux Foundation revela que 7 de cada 10 empresas que cuentan con una política de software de código abierto confían en que el desarrollo de sus aplicaciones es muy seguro, o medianamente seguro. Y solo el 45% de las empresas que no han implementado estas políticas consideran que el proceso es algo menos que seguro. Pero esta investigación muestra que aquellas que sí disponen de una política de seguridad suelen desempeñarse mucho mejor en las medidas de preparación autoevaluadas.

Matt Jarvis, director de relaciones con desarrolladores de Snyk, explica que el software de código abierto ofrece beneficios importantes para el desarrollo de aplicaciones, pero las empresas deberían identificar sus desventajas y estar preparadas para afrontarlas. Dice que “si bien el código abierto es un mecanismo comprobado para la innovación y la creación de software de alta calidad, se está convirtiendo en una víctima de su propio éxito, en el sentido de que su ubicuidad lo ha convertido en 0un objetivo para los ataques a la cadena de suministro”.

Por ello, opina que las organizaciones deberían adquirir una mayor comprensión de los mecanismos bajo los que funciona el código abierto, lo que abarca la gobernanza y el código. Y cree que también deberían fortalecer su enfoque para la gestión de la cadena de suministro a través de herramientas y metodologías de seguridad para desarrolladores.

Otro dato que revela esta investigación es que las empresas más pequeñas son las menos avanzadas en la adopción de estas políticas y metodologías. Actualmente solo la mitad de las empresas disponen de una política de seguridad de código abierto para apoyar a los desarrolladores en el uso de los componentes y marcos, pero entre las pequeñas empresas el porcentaje de las que no siguen este camino es del 60%.

Los expertos atribuyen esta falta de priorización hacia la seguridad Open Source en las empresas emergentes y pequeñas a cuestiones económicas. Y Jarvis dice que “las organizaciones pequeñas tienen presupuestos y personal de TI reducidos, y las necesidades funcionales de la empresa a menudo tienen prioridad para que la empresa pueda seguir siendo competitiva”. Su encuesta revela que las principales razones para no abordar las mejores prácticas en seguridad de código abierto entre estas empresas son la falta de recursos y tiempo.

Por otra parte, existen diferencias en la seguridad que se busca y se aplica a los distintos lenguajes de programación. Así, las aplicaciones desarrolladas en .NET presentan el tiempo promedio de corrección de fallas más elevado, de hasta 148 días, seguido por JavaScript. En el otro extremo están las aplicaciones programadas en Go, que muestran el tiempo de parcheo más rápido, cifrado en unos 49 días de media.

El informe de Snyk destaca que, además, se está viendo una mayor cantidad de dependencias en las aplicaciones JavaScript, mientras que Phyton muestra la menor cantidad, con un promedio de 25 dependencias por proyecto. Explican que los grandes árboles de dependencias transitivas pueden complicar la resolución de vulnerabilidades, pero el número de dependencias no es una desventaja en sí, si la empresa cuenta con formas de rastrear las relaciones entre sus diferentes proyectos.

En su informe, Jarvis dice que “los paquetes de JavaScript tienden a tener un alcance más pequeño que otros ecosistemas, por lo que, si bien hay más, puede haber menos código para auditar en busca de posibles debilidades. La cuestión más importante es comprender las dependencias que está utilizando, en particular las transitivas que se presentan como dependencias de dependencias, y eso se reduce a usar las herramientas de seguridad adecuadas para escanear cosas”.

En cualquier caso, los datos recogidos en esta encuesta muestran que los diferentes lenguajes de programación presentan distintos grados de fallas. Así, un proyecto promedio de Java muestra más de 47 vulnerabilidades de gravedad alta y 28 de gravedad media. Mientras tanto, una aplicación escrita en JavaScript tiene de media 18 y 21 vulnerabilidades, respectivamente. Y Phyton solo presenta vulnerabilidades de menor gravedad, con una media de 20 por proyecto.

Pero cabe aclarar que esto depende de diferentes variables, como la complejidad de cada proyecto, la cantidad de desarrolladores implicados o la popularidad. Por ello, Jarvis, dice que es probable que muchos desarrolladores que se centran en proyectos altamente populares muestren más errores en su trabajo.

En cuanto a las estrategias y políticas de seguridad para el software de código abierto, esta encuesta señala que un 60% de las empresas maduras en la seguridad del software de código abierto confían en los avisos de vulnerabilidades emitidos por la industria. Y un 49% en las notificaciones de los responsables del mantenimiento de los paquetes.

La brecha más importante entre las empresas más maduras y las que no tienen políticas de seguridad de código abierto está en la monitorización automatizada, ya que solo un 38% de las empresas que no siguen esta estrategia utilizan algún tipo de monitorización automatizado, mientras que el porcentaje entre las empresas más maduras es del 60%.

Jarvis recomienda a las empresas menos avanzadas en este aspecto que implementen una política de seguridad de OSS, aunque sea básica, porque asegura que “existe una correlación entre tener una política y el sentimiento de afirmar que el desarrollo es algo seguro. Creemos que tener una política implementada es un punto de partida razonable para la madurez de la seguridad, ya que indica que la organización es consciente de los problemas potenciales y ha iniciado ese viaje”.

TAGS Seguridad, Software, Open Source, Desarrolladores, IT Trends, IT Trends 2022

Patrocinadores

Reportaje

La necesidad indispensable de una infraestructura de respaldo integral en el panorama empresarial actual

En la era digital actual, donde los datos son críticos y los avances tecnológicos dan forma a la manera en la que se llevan a cabo los negocios, una sólida infraestructura de respaldo se ha convertido en la piedra angular de toda empresa exitosa. Los datos son el eje central de las empresas modernas, sirviendo como base para la toma...

Los planes de almacenamiento en la nube están en jaque: la alternativa de Synology

Durante años, los proveedores de almacenamiento en la nube han atraído a empresas con planes ilimitados. Sin embargo, la viabilidad económica de estas ofertas ha sido cuestionada, llevando a las empresas a abandonar gradualmente los planes de almacenamiento ilimitado y explorar alternativas ante este cambio en el mercado.

Descubriendo los Puntos Ciegos de la Vigilancia Empresarial: una mirada profunda

La videovigilancia en las empresas es crucial para salvaguardar no solo los datos si no proteger todos los elementos valiosos dentro de una infraestructura para garantizar y mantener el funcionamiento ininterrumpido de una organización.

ENCUENTROS ITDM GROUP

Encuentro IT Trends 2024: Liderando la innovación

Además de la IA, habrá muchos otros motores que estarán dirigiendo innovación en las empresas el próximo año: la automatización, la consolidación, la sostenibilidad, el autoservicio, la ciberseguridad, las plataformas industriales en la nube, la conectividad, la experiencia digital… Únete a este Encuentro IT Trends 2024 en el que analizamos los principales vectores tecnológicos para impulsar la innovación en las empresas. Con la participación de AON, Ávoris, Enso, Holcim, Ayesa, Commvault, Digiu Digital, Incentro, Schneider, B-FY, Bitdefender, Netskope y SonicWall

IT TELEVISIÓN

DOCUMENTOS

10 formas de dominar el trabajo moderno

El 80% de los CEO está aumentando sus inversiones en tecnología digital para hacer frente a las presiones económicas actuales, creando oportunidades para utilizar la información y anticiparse a las tendencias y superar a la competencia mediante la transformación de los procesos, la automatización del negocio y una mejor colaboración en los contenidos. Descubre cómo situar a tu compañía a la cabeza del mercado digital leyendo estas 10 formas de dominar el trabajo moderno.

Cómo combatir la complejidad de los costes con FinOps

Nos encontramos en un momento en que el que existen un sinfín de opciones de cloud computing. Con un coste de entrada relativamente bajo y la innovación empresarial como telón de fondo, las empresas se encuentran ante el reto de lidiar con un cada vez mayor número de sistemas, lo que provoca que tengan que hacer frente a una mayor compleji...

CONTENIDO RELACIONADO

CONTENIDO RECOMENDADO