Un año más Sonatype ha lanzado su análisis sobre el consumo de software de código abierto, que recoge, entre otras cosas, que este ha sido un año récord en el consumo de open source. Al respecto, Python (PyPI) ha experimentado un aumento del 80 % en el consumo en comparación con el año pasado, alcanzando más de 530 billones de solicitudes de paquetes, mientras que las descargas de JavaScript (npm) aumentaron un 70 %, con 4,5 billones de solicitudes de paquetes.
También destacable es que el malware de código abierto está proliferando. Sonatype observó un aumento del 156 % en la cantidad de paquetes maliciosos año tras año, alcanzando más de 704.102 identificados desde 2019.
Como ocurre en el mercado IT en general, los editores de open source no pueden seguir el ritmo de la parcheado de vulnerabilidades. Los datos demuestran que varias vulnerabilidades críticas en 2024 tardaron más de 500 días en solucionarse, lo que indica que los encargados del mantenimiento están teniendo dificultades para hacer frente a la acumulación de vulnerabilidades.
Por otra parte, a pesar de que más del 99 % de los paquetes tienen versiones actualizadas disponibles, el 80 % de las dependencias de las aplicaciones permanecen sin actualizar durante más de un año. Además, el 95 % de las veces, cuando se consumen componentes vulnerables, ya existe una versión corregida.
Según el informe de Sonatype, los proyectos de código abierto con soporte pago tienen casi tres veces más probabilidades de tener una política de seguridad integral. Además, los componentes con soporte pago resuelven las vulnerabilidades pendientes hasta un 45 % más rápido y tienen la mitad de vulnerabilidades en general.
Los reguladores se están poniendo al día: están surgiendo nuevas políticas, incluida la Directiva sobre redes y sistemas de información (NIS2), que entró en vigor este mes en la Unión Europea, y las próximas reglamentaciones que están surgiendo en India y Australia. Estas políticas están fomentando la adopción de SBOM, con más de 60.000 SBOM publicados en el último año.
