Endor Labs es una startup que se dedica a identificar vulnerabilidades en el proceso de desarrollo de aplicaciones y que acaba de lanzar “The State of Dependency Management”, un estudio que recoge valiosa información sobre el uso de software de código abierto en el desarrollo de aplicaciones y los riesgos de seguridad que eso puede generar.
A través de un post firmado por Station 9, el equipo de investigación de Endor Labs, comentan que la seguridad de la cadena de suministro de la que tanto se habla empieza en el código que se decide incluir en las aplicaciones. “El 80% del código en las aplicaciones modernas es código que usted no escribió, pero en el que confía a través de paquetes de código abierto. La selección, seguridad y mantenimiento de estas dependencias es el primer y más importante paso hacia la seguridad de la cadena de suministro de software”, aseguran.
El que es el primer estudio de la compañía, recoge que la gran mayoría de todas las vulnerabilidades, el 95%, se encuentran en dependencias transitivas, paquetes de código abierto que no son seleccionados por los desarrolladores, sino que se incorporan indirectamente a los proyectos.
El informe de Station 9 ofrece un análisis exhaustivo de las complejidades que genera la dependencia del software de código abierto y revela cómo los métodos tradicionales de remediación de vulnerabilidades requieren un examen mucho más profundo. Aseguran que el problema no es necesariamente el uso generalizado del código fuente abierto existente en nuevas aplicaciones; “es que los desarrolladores involucrados solo seleccionan una pequeña muestra de estas dependencias de software. El resto son dependencias «transitivas» o indirectas que se introducen automáticamente en el código base. Esto prepara el escenario para vulnerabilidades significativas, potenciales e identificables, que afectan tanto el mundo de la seguridad como el del desarrollo en igual medida”.
Una comparación entre las dos iniciativas comunitarias más populares para identificar proyectos críticos (Census II y OpenSSF Criticality Scores) revela que determinar la criticidad está lejos de ser simple y son las propias organizaciones las que tienen que decidir por sí mismas qué proyectos de código abierto son críticos.
También recoge el informe que el 50% de los paquetes de código abierto de Census II más utilizados se lanzaron antes de 2022 y el 30 % tuvo su último lanzamiento antes de 2018; esto puede causar problemas operativos y de seguridad graves en el futuro. Por otra parte, nuevo no significa seguro: al actualizar a la última versión de un paquete, todavía hay un 32% de posibilidades de que tenga vulnerabilidades conocidas.
