- Un estudio de CA Veracode señala que sólo el 23% de los componentes de terceros son puestos a prueba en cada etapa de desarrollo del software
- En promedio, se encuentran 71 vulnerabilidades insertadas en las aplicaciones a través de código abierto o soluciones comerciales
- Menos del 30% de las empresas productoras de software realizan análisis regulares sobre la composición de sus productos
Una investigación realizada por CA Veracode, empresa líder en el mercado de seguridad y adquirida por CA Technologies, aclara las diferencias entre la seguridad e higiene de los componentes de código abierto. De acuerdo con la encuesta, casi la mitad de los programadores (48%) no actualiza las soluciones desarrolladas que utilizan componentes de código abierto o comerciales, incluso cuando el mercado divulga una nueva vulnerabilidad de seguridad. Este y otros datos destacan la falta de concienciación de las organizaciones en seguridad, poniéndolas bajo riesgo.
Nuevas técnicas para el desarrollo de software, como el DevSecOps, que trabaja con la seguridad desde el comienzo del proceso, mejoran la calidad de los códigos. Esta es una metodología que valora la velocidad y eficiencia para acompañar las demandas del mercado, y hace que los desarrolladores busquen recursos y funcionalidades de proyectos ya existentes. Según la encuesta, el 83% de los entrevistados utilizan, en promedio, 73 componentes de terceros durante la producción de un software.
Aunque los componentes aumenten la eficiencia de los desarrolladores y su uso sea recomendado, estos normalmente presentan riesgos de seguridad, apunta el estudio. A pesar de que el 71% de las compañías afirman tener un programa formal de seguridad de aplicaciones (AppSec), sólo el 23% de los encuestados ponen a prueba las vulnerabilidades de los componentes en cada release. Según la investigación, se encuentra una media de 71 vulnerabilidades, insertadas por códigos de terceros, en cada aplicación.
Además, solo el 53% de las organizaciones mantienen un inventario de todos los componentes utilizados en sus aplicaciones. De acuerdo con The State of Software Security Report 2017, menos del 28% de las empresas realizan análisis regulares sobre la composición de sus softwares para entender qué componentes están incorporados en sus aplicaciones.
“Sabemos que los desarrolladores se preocupan por crear un código excelente, y eso significa crear un código seguro”, comenta Pete Chestna, director de compromiso de desarrolladores de CA Veracode. “Sin embargo, para lograr el éxito, los desarrolladores necesitan conocer la política de seguridad y las herramientas de medición. Cuando la meta es clara y damos a los profesionales acceso a estas herramientas, podrán integrar las pruebas desde el comienzo del desarrollo y tomar mejores decisiones, que consideren la seguridad. Con ello, veremos una mejora significativa en la calidad y en los resultados.”
El informe muestra que los equipos de desarrollo (44%) o seguridad (31%) son los principales responsables del mantenimiento de componentes de terceros, lo que aumenta la responsabilidad del equipo de desarrollo. Con la concienciación sobre el riesgo de código abierto cada vez mayor, es importante proveer soluciones, entrenamiento y visibilidad a los desarrolladores para mitigar los riesgos, como un elemento fundamental del enfoque de desarrollo de la Moderna Fábrica de Software, que ayuda a desarrollar mejores aplicaciones, más seguras y con más rapidez.
Metodología
CA Veracode contrató a Vanson Bourne para entrevistar a 400 desarrolladores de aplicaciones de los Estados Unidos (200 encuestados), de Reino Unido (100 encuestados) y de Alemania (100 encuestados) para entender la madurez de la seguridad de los componentes de las organizaciones. El estudio se realizó online en febrero de 2018.
