En un momento en que casi todo el software contiene código fuente abierto, se ha detectado al menos una vulnerabilidad en el 84% de todas las bases de código empresariales.
Este es uno de los hallazgos del reciente informe publicado por la empresa de seguridad de aplicaciones Synopsys. Además, el 48% de todas las bases de código analizadas por los investigadores de la compañía contenían vulnerabilidades de alto riesgo, que son aquellas que se han explotado activamente, ya tienen explotaciones de prueba de concepto documentadas o están clasificadas como vulnerabilidades de ejecución remota de código.
Los datos de vulnerabilidades se incluyen en el informe de análisis de riesgo y seguridad de código abierto (OSSRA) de Synopsys de 2023, elaborado por el Centro de Investigación de Seguridad Cibernética (CyRC) de la empresa.
El informe se basa en el análisis de auditorías de bases de código involucradas en transacciones de fusiones y adquisiciones y destaca las tendencias en el uso de código abierto en 17 industrias.
En total se examinaron 1.481 bases de código en busca de vulnerabilidades y cumplimiento de licencias de código abierto, y otras 222 bases de código se analizaron solo para el cumplimiento.
Teniendo en cuenta que el informe OSSRA se basa en auditorías de código realizadas en 2022, en ellas detectaron que la cantidad de vulnerabilidades conocidas de código abierto aumentó un 4% desde 2021.
«El código abierto estaba en casi todo lo que examinamos este año; constituía la mayoría de las bases de código en todas las industrias», apunta el informe. Asimismo, también destaca un aspecto preocupante: las bases de código contenían un alto número de vulnerabilidades conocidas que las organizaciones no habían podido parchear, dejándolas expuestas.
Vulnerabilidades en bases de código según el sector
En concreto, todas las bases de código de empresas de los sectores aeroespacial, de aviación, automotriz, de transporte y de logística contenían algún código fuente abierto que representaba el 73% del código total.
El 63% de todo el código de estos sectores (abierto y propietario) contenía vulnerabilidades clasificadas como de alto riesgo, aquellas con una puntuación de gravedad CVSS 7 o superior.
En el sector de la energía y las tecnologías limpias, el 78% del código era abierto, y el 69% contenía vulnerabilidades de alto riesgo.
Por otra parte, el informe señala que el porcentaje de código fuente abierto ha aumentado en las bases de código en todas las verticales de la industria durante los últimos cinco años.
Entre 2018 y 2022, el porcentaje de código fuente abierto dentro de bases de código escaneado creció un 163% en tecnología para el sector educativo; 97% en aeroespacial, aviación, automotriz, transporte y logística; y un 74% en manufactura y robótica.
Desde Synopsys atribuyen este crecimiento del código abierto a los efectos de la pandemia, «con el impulso de la educación online y el software sirviendo como base crítica».
Paralelamente, se ha producido un aumento en las vulnerabilidades de alto riesgo en todos los sectores. Por ejemplo, las empresas aeroespaciales, de aviación, automotrices, de transporte y de logística registraron un aumento del 232% en las vulnerabilidades de alto riesgo en los últimos cinco años.
Las vulnerabilidades de alto riesgo en las bases de código relacionadas con IoT han aumentado un 130 % desde 2018. Para los responsables de la compañía, se trata de algo especialmente preocupante ante el creciente uso de dispositivos IoT.
La imperante necesidad de actualizar
De las 1.481 bases de código examinadas, el 91% contenía versiones desactualizadas de componentes de código abierto, lo que significa que había una actualización o parche disponible pero no se había aplicado.
La razón de esto podría ser que los equipos de desarrollo pueden determinar que el riesgo de consecuencias no deseadas supera cualquier beneficio que se obtenga al aplicar la actualización. No obstante, la falta de tiempo y los recursos también podría ser otra causa por la que no se están aplicando los parches disponibles.
Además, es posible que los equipos de devsecops no sepan cuándo hay disponible una versión más nueva de un componente de código abierto, si es que conocen el componente.
El informe sugiere que, para evitar la explotación de vulnerabilidades y mantener actualizado el código fuente abierto, las organizaciones deben utilizar una lista de materiales de software (SBOM).
Un SBOM completo enumera todos los componentes de código abierto en las aplicaciones, así como las licencias, las versiones y el estado de los parches. Asimismo, ayuda a las organizaciones a identificar rápidamente los componentes con riesgo y priorizar la solución del problema de manera adecuada.
