A medida que más y más empresas confían en componentes de código abierto en su software, asegurar estos componentes se vuelve cada vez más importante.
Esta fue la premisa de un evento de Google hoy en el que los expertos en código abierto destacaron los muchos problemas para asegurar el software de código abierto. La discusión también incluyó temas sobre qué empresas deberían priorizar y qué pasos tomar para mejorar el estado general de la seguridad de código abierto, según Dark Reading.
Synopsys señala que el programa de software promedio se basa en al menos 500 bibliotecas y componentes de código abierto, un crecimiento del 77% de 298 dependencias en 2 años. Más del 75% del código en la aplicación de software promedio consistía en bibliotecas y componentes de código abierto, el 84% de las aplicaciones tenían al menos una vulnerabilidad y la aplicación promedio tenía 158.
En una charla sobre la seguridad de la cadena de suministro de código abierto, el ingeniero de software de Google, Dan Lorenc, aconsejó a las empresas que sepan qué están utilizando. Admite que este paso puede parecer obvio, pero no es fácil, especialmente cuando los desarrolladores comienzan a crear y publicar artefactos y combinar artefactos con otros artefactos.
Cuando se informa de una vulnerabilidad, ya sea involuntaria o maliciosa, no saber qué está funcionando puede llevarlo a un apuro.
Las empresas deben tener un plan de prevención de ataques de día cero
El gobierno y la auditoría constante de nuevas dependencias, ya sean internas o de código abierto, es una estrategia eficaz para salvaguardar el software.
Lorenc agregó que este control también puede extenderse a los componentes que usa, y señaló que este también es un paso difícil para la mayoría de las empresas. Además, es difícil verificar el contenido de un paquete binario, pero no tiene por qué ser todo o nada. Por otro lado, generar y compilar código es parte del código abierto. Saber que puede construir si es necesario es la mitad de la batalla y demuestra que tiene control sobre el código que entra en sus aplicaciones.
Lorenc enfatizó que las organizaciones deben tener planes para hacer frente a las vulnerabilidades de día cero, así como a los problemas conocidos. Las vulnerabilidades de día cero son problemas coloridos y emocionantes que suelen aparecer en los titulares, y las organizaciones deben tener una estrategia de contingencia para corregirlos rápidamente.
Por otra parte, es posible que las vulnerabilidades más antiguas no reciban la atención que merecen. Estos problemas pueden pasarse por alto fácilmente en organizaciones grandes que ejecutan una variedad de entornos y sistemas
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
Fecha actualización el 2021-06-07. Fecha publicación el 2021-06-07. Categoria: google Autor: Oscar olg Mapa del sitio Fuente: softpedia