Los equipos de desarrollo pueden beneficiarse de las diferentes bibliotecas y marcos de código abierto, pero necesitan tener en cuenta los posibles riesgos de esta práctica
Una tendencia a la alza en informática es la adopción de código fuente abierto, pues especialistas en ciberseguridad consideran que actualmente los componentes de código abierto comprenden entre el 60 y el 80% del código en las aplicaciones modernas. Los equipos de desarrollo de software se han dado cuenta que el uso de código fuente abierto les ayuda a construir aplicaciones web más seguras y potentes, con un proceso más ágil.
Aunque existen razones obvias para que los desarrolladores usen componentes de código abierto, esta práctica conlleva sus riesgos. Asegurar constantemente un producto de código abierto puede ser un desafío enorme y que requiere mucho tiempo, y depende además de las herramientas correctas para que quien lo utiliza se mantenga a salvo de estas amenazas.
Cuando se trata de componentes de código abierto, el riesgo de seguridad más común son las vulnerabilidades conocidas. Estas son vulnerabilidades y soluciones, publicadas por la comunidad de ciberseguridad o la comunidad de código abierto, que están disponibles para que cualquiera las vea y pueden ser utilizadas por hackers para explotar a las víctimas.
Los componentes de código abierto se utilizan en diferentes tipos de desarrollos, y una vulnerabilidad de seguridad de código abierto presente en un sólo componente puede tener un gran impacto en una gran cantidad de aplicaciones web. La comunidad de código abierto da mantenimiento a los diferentes componentes de código abierto y alerta rápidamente a los usuarios cuando se descubre una nueva vulnerabilidad.
Para ayudar a los usuarios a mantener estos componentes seguros, investigadores de ciberseguridad publican sus hallazgos en distintos portales, enumerando las vulnerabilidades, cómo solucionarlas y cómo una vulnerabilidad puede ser explotada. Si bien esto ayuda a los equipos de seguridad y a los desarrolladores a corregir sus aplicaciones, los hackers también se valen de estos recursos para conocer mejor sus posibles vectores de ataque.
El principal desafío es mantenerse siempre un paso por delante del hacker; lamentablemente, la mayoría de los equipos de desarrollo desconocen cuántos de sus productos dependen de componentes de código abierto y, por lo general, no mantienen un inventario del código y de sus posibles vulnerabilidades. Esto puede ser un problema importante, ya que pueden ser víctimas de ciberataques a través de un componente de código abierto vulnerable al que no le prestaron la debida atención. Esto es lo que sucedió en el robo de datos a Equifax en septiembre pasado cuando la compañía fue hackeada mediante una versión vulnerable de Apache Struts 2, que provocó el robo de millones de registros personales.
Darle seguimiento de forma manual al código abierto de una organización puede ser un proceso demasiado lento. Para implementar un desarrollo de manera óptima, la mejor solución es automatizar la selección y el proceso de administración de los componentes de código abierto.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
