Estos son los pros y los contras de usar software de código abierto, en comparación con el de código cerrado: entonces, ¿qué tan seguro es el código abierto?
Cuando las personas toman decisiones sobre el software, la seguridad suele estar en la parte superior de sus listas de prioridades. Y si no es así, ¡debería serlo! Sin embargo, normalmente se preguntan acerca de las diferencias entre el software de código abierto y el de código cerrado.
Software de código abierto frente a software de código cerrado
La gente hace que el software de código abierto esté disponible gratuitamente para todos. El público puede usarlo, copiarlo, modificarlo y redistribuirlo. Además, como sugiere el nombre, cualquiera puede ver el código fuente.
El software de código cerrado presenta un código estrictamente protegido que solo las personas autorizadas pueden ver o cambiar. El costo cubre el derecho de las personas a usarlo, pero solo dentro de los límites del acuerdo de licencia para el usuario final.
La visibilidad de código abierto tiene ventajas y desventajas de seguridad
La posibilidad de que cualquiera pueda ver el código fuente aporta importantes ventajas para la seguridad de código abierto. El desarrollo se convierte en un esfuerzo comunitario en el que participan personas de todo el mundo.
Eso significa que los errores a menudo se detectan y solucionan más rápido que si solo un grupo mucho más pequeño de personas examinara el código.
Sin embargo, los piratas informáticos también aprovechan la accesibilidad del código de fuente abierta. Podrían usarlo para planificar ataques o tomar nota de vulnerabilidades.
Los desarrolladores con un interés genuino en mejorar el software de código abierto abordan los problemas que encuentran o al menos informan los problemas a alguien con las habilidades para abordarlos. Cualquiera con malas intenciones espera que las cosas pasen desapercibidas durante el mayor tiempo posible.
Estas realidades hacen que los profesionales de la ciberseguridad adviertan que el software de código abierto puede poner en riesgo a las organizaciones. Un problema es que los delincuentes podrían ver el código e inyectarle contenido peligroso. Alternativamente, esas partes podrían apuntar a empresas que no tienen prácticas estrictas para descargar parches de software con suficiente frecuencia.
Dado que el software de código abierto no tiene una autoridad central que lo administre, es difícil para cualquiera saber qué versiones se utilizan con más frecuencia. Los títulos pueden actualizarse con tanta frecuencia que los equipos de TI de una organización no se dan cuenta de que tienen una versión anterior con graves problemas de seguridad.
Las bibliotecas de software de terceros plantean riesgos de seguridad de código abierto
Los desarrolladores suelen utilizar bibliotecas de software de terceros para ahorrar tiempo. Son componentes reutilizables desarrollados por una entidad distinta al proveedor original. Una ventaja es que permiten el uso de código previamente probado.
Las bibliotecas populares se prueban en numerosos entornos para una amplia gama de casos de uso. La frecuencia natural de uso significa que los errores se informan con frecuencia. Sin embargo, eso no significa necesariamente que las bibliotecas de software de terceros tengan una seguridad superior, incluso cuando se habla de las asociadas con el software de código abierto.
Un estudio encontró que, en casi el 80 por ciento de los casos, las bibliotecas de terceros para software de código abierto no se actualizan después de que los desarrolladores las agregan a las bases de código. Los investigadores involucrados en el estudio advirtieron cómo la falta de actualizaciones podría tener efectos colaterales.
Algunos de los títulos de software más nuevos y más utilizados se basan en bibliotecas de software de terceros durante el desarrollo. Un defecto podría afectar a todos los productos asociados con una biblioteca problemática. Otro hallazgo preocupante es que más de una cuarta parte de los desarrolladores encuestados desconocían o no estaban seguros de ningún proceso formal utilizado para seleccionar bibliotecas de terceros.
Sin embargo, una conclusión positiva del estudio fue que las actualizaciones de software corrigen el 92 por ciento de las fallas en las bibliotecas de software de terceros. Además, el 69 por ciento de las actualizaciones solo requieren un cambio de versión menor o algo aún menos extenso.
Aún más prometedor fue que los desarrolladores pudieron corregir el 17 por ciento de estos defectos en una hora. Eso significa que abordar estos problemas de bibliotecas de código abierto no siempre requiere mucho tiempo o es complicado.
Cómo la velocidad de resolución de errores afecta la seguridad de código abierto
Uno de los principales problemas con el software desactualizado es que deja a los usuarios en riesgo de posibles fallas de seguridad. En un mundo ideal, los desarrolladores notarían y corregirían todos los errores antes de que el software llegue al público. Sin embargo, ese es un objetivo poco realista.
La siguiente mejor opción es lanzar parches de software poco después de que las vulnerabilidades se hagan evidentes. Los investigadores de seguridad a menudo alertan a los proveedores de software de código cerrado sobre problemas que necesitan soluciones rápidas. Sin embargo, las personas que desarrollan esos productos siguen los programas de lanzamiento elegidos por los superiores.
Los responsables de la toma de decisiones tampoco siempre dan prioridad a todas las vulnerabilidades. Algunos permanecen sin abordar durante meses o años después de que ocurre la identificación inicial. Un problema relacionado es que muchos desarrolladores luchan con cargas de trabajo excesivas o desequilibradas que pueden limitar gravemente su capacidad para corregir errores rápidamente, incluso con las mejores intenciones.
Otra encuesta encontró que el 38 por ciento de los desarrolladores dedican una cuarta parte de su tiempo disponible a corregir errores de software. Alrededor del 26 por ciento de los encuestados dijo que la tarea les toma la mitad de sus días laborales. Otro hallazgo revelador fue que el 32 por ciento de los desarrolladores dedican hasta 10 horas a la semana a corregir errores en lugar de escribir código.
Los desarrolladores toman numerosas precauciones para evitar la publicación de código problemático. Por ejemplo, la cobertura de Blue Sentry analizó cómo una base de datos de espacio aislado proporciona una versión reflejada del entorno de producción y cualquier cambio en el ciclo de implementación actual.
Los profesionales del desarrollo web pueden aprender y probar cosas sin mayores consecuencias adversas que afecten a todo un equipo. Pero todavía ocurren errores.
Dado que el software de código abierto tiene comunidades de desarrollo enteras que trabajan para mejorarlo, existe una alta probabilidad de que alguien con las habilidades adecuadas y la disponibilidad de programación pueda detectar un error y solucionarlo. Eso puede significar que las vulnerabilidades conocidas no permanecen sin resolver durante tanto tiempo como podrían hacerlo con un título de software de código cerrado.
Google lanza una herramienta para mejorar la seguridad de código abierto
Las dependencias de software existen cuando un sistema operativo depende de otro para funcionar. Cuando se trata de software de código abierto, el rápido ritmo de cambio a menudo dificulta que los desarrolladores comprendan si alguna de sus dependencias se refiere a versiones obsoletas.
Sin embargo, Google lanzó recientemente una herramienta de visualización basada en la web llamada Open Source Insights para abordar ese problema. Ofrece a los usuarios una descripción general de los componentes asociados con un paquete de software.
Dado que la información incluye detalles sobre las dependencias y sus propiedades, los profesionales del desarrollo tienen una idea más clara de si el software de código abierto desactualizado podría causar problemas más adelante.
Además de mirar los gráficos de dependencia, las personas pueden usar una herramienta de comparación que muestra cómo las diferentes versiones de paquetes pueden afectar las dependencias. A veces, uno más nuevo aborda un problema de seguridad. Al ofrecer esta herramienta, Google tiene como objetivo facilitar que los desarrolladores sean más conscientes de cómo utilizan el software de código abierto.
Fecha actualización el 2021-07-08. Fecha publicación el 2021-07-08. Categoria: computadoras Autor: Oscar olg Mapa del sitio Fuente: beebom