Sin atención a la seguridad en aplicaciones de código abierto, revela estudio
Apenas la mitad de los desarrolladores que usan componentes comerciales o de código abierto en sus apps actualizan sus componentes cuando se anuncia una nueva vulnerabilidad de seguridad, lo que pone al descubierto el riesgo y la brecha de seguridad que prevalece en estos desarrolladores.
Estos datos fueron dados a conocer en un estudio realizado por Vanson Bourne, donde además se enfatizó la discrepancia entre la seguridad y el adecuado control de los componentes.
En el estudio realizado por Vanson Bourne a petición de CA Veracode se encuestó a 400 desarrolladores de aplicaciones de Alemania, Estados Unidos y Gran Bretaña para comprender la madurez de las organizaciones en cuanto a la seguridad de los componentes de software. Las encuestas se llevaron a cabo online durante el mes de febrero de 2018.
Si bien los procesos de desarrollo de software como DevSecOps han permitido una mejora en la seguridad del código, también esos mismos procesos de desarrollo se valora la velocidad y la eficiencia para mantenerse al día y poder satisfacer las demandas de la economía de las aplicaciones.
Dando como resultado que los desarrolladores hagan uso de componentes que utilizan características y funcionalidades de proyectos y bibliotecas existentes.
El estudio también muestra que el 83% de los encuestados usa componentes comerciales o de código abierto, o ambos, con un promedio de 73 componentes por aplicación.
A pesar de encontrar un promedio de 71 vulnerabilidades por aplicación introducidas a través del uso de componentes de terceros, solo el 23% de los encuestados realizaron pruebas de vulnerabilidades en los componentes en cada versión. Esto puede ser el resultado de que solo el 71 % de las organizaciones declaran contar con un programa formal de seguridad de aplicaciones (AppSec).
Además, solo el 53 % de las organizaciones mantiene un inventario de todos los componentes en sus aplicaciones. De acuerdo con el Informe de seguridad del estado de software 2017, menos del 28% de las compañías hacen un análisis regular de composición para saber qué componentes forman parte de sus aplicaciones.
“A los desarrolladores les preocupa crear código de calidad, y eso significa crear código seguro. Para tener éxito, los desarrolladores han de conocer claramente las políticas de seguridad y deben disponer de las herramientas para medirlas. Cuando el objetivo está claro y les damos acceso a esas herramientas, son capaces de integrar el escaneo en las primeras fases del ciclo de vida de desarrollo del software y pueden tomar decisiones informadas que tienen en cuenta la seguridad. Gracias a ello, estamos viendo una importante mejora en el desarrollo de software seguro y en los productos resultantes”, afirmó Pete Chestna, director de relación con los desarrolladores, CA Veracode.
El estudio también muestra que el 44% de los equipos de desarrollo y el 31% de los de seguridad son, con más probabilidad, los responsables del mantenimiento de componentes de código abierto y comercial de terceros, lo que sugiere un movimiento hacia mayor responsabilidad del equipo de desarrollo. A medida que aumenta el conocimiento sobre los riesgos del código abierto, proporcionar a los desarrolladores las soluciones, la visibilidad y la formación para mitigar esos riesgos se convierte en un elemento clave de desarrollo en el ámbito de una fábrica de software moderna para poder construir aplicaciones mejores, más seguras y de forma más rápida.
Realice pruebas tempranas de evaluación y eliminación del riesgo en su aplicación. El plug-in de Veracode le permite ejecutar un análisis de seguridad dinámico en una aplicación web implementada.
En Latix Network Solutions le ayudaremos a tomar conciencia y conocer qué problemas de seguridad son más importantes para su organización. Contamos con un servicio de administración de seguridad y monitoreo que le permitirá poner en marcha su estrategia en breve y orientar sus recursos en labores operativas propias del negocio.
¡Si desea agendar una cita, por favor déjenos sus datos!
Fuente: CA Technologies
