A medida que las empresas dependen cada vez más del software libre y de código abierto (FOSS), se corren riesgos innecesarios para su seguridad.
Eso es según el último informe (se abre en una nueva pestaña) de la firma de seguridad de la cadena de suministro de software Sonatype, que pinta una imagen terrible de los tipos de software de código abierto en los que las empresas confían, tal vez, como una forma de reducir los costos de software.
Según el informe Estado de la cadena de suministro de software de la compañía, ahora en su octavo año, los desarrolladores descargan 1.200 millones de dependencias vulnerables cada mes, y de ese número, el 96 % ha tenido una alternativa no vulnerable.
Un aumento en los ataques a la cadena de suministro de OSS
Atacar repositorios de código abierto que luego se descargan e integran en el software empresarial es un claro ejemplo de un ciberataque a la cadena de suministro.
Con unos 1500 cambios de dependencia por aplicación cada año, mantener ecosistemas de código abierto ejerce mucha presión sobre los desarrolladores y siempre se cometerán errores.
Tal vez como resultado, Sonatype informa que este tipo de actividad cibernética ha experimentado un aumento masivo, aumentando un 633 % año tras año.
Sin embargo, cree que hay una solución: principalmente, minimizar las dependencias y acelerar las actualizaciones de software en los puntos finales. También recomienda concienciar a los profesionales de la ingeniería sobre las dependencias vulnerables de FOSS.
Sonatype descubrió que más de dos tercios (68 %) confiaban en que sus aplicaciones no utilizaban bibliotecas vulnerables, a pesar de que el mismo porcentaje de aplicaciones empresariales (68 %) contenía vulnerabilidades conocidas en sus componentes de software de código abierto.
Además, los administradores de TI tenían más del doble de probabilidades de creer que sus empresas abordan de forma rutinaria los problemas de software durante la fase de desarrollo que sus contrapartes de seguridad de TI.
Para Sonatype, las empresas necesitan simplificar y optimizar el proceso de desarrollo de software con herramientas más inteligentes, más visibilidad y mejor automatización.
Los ataques a la cadena de suministro se encuentran entre los incidentes cibernéticos más devastadores de los últimos años, incluidos los incidentes basados en la vulnerabilidad log4j y el compromiso de SolarWinds. Incluso hoy en día, los ciberdelincuentes comprometen a organizaciones de todas las formas y tamaños utilizando la falla log4j.
A través de VentureBeat (se abre en una nueva pestaña).
