Presentamos el Informe del estado de la seguridad para código abierto del 2022 de Snyk y la Fundación Linux

El software de código abierto es un componente crucial en cualquier aplicación moderna. Dio paso a una nueva era en el desarrollo de software: promueve el libre intercambio de ideas en las comunidades de desarrolladores y les permite crear software más funcional y más rápido que nunca. Según la mayoría de los cálculos, entre 70 y 90 % de cualquier programa de software moderno incluye fragmentos de código abierto.

Así como los desarrolladores de código privado usan paquetes de código abierto para acelerar el desarrollo, también lo hacen quienes crean código abierto. Esto significa que las bibliotecas de código abierto suelen desarrollarse a partir de otras bibliotecas de código abierto (lo que se conoce como dependencias transitivas o indirectas), que generan un complejo árbol de dependencias. Desde la óptica de la seguridad, el software de código abierto introduce muchas capas de código en las aplicaciones,y las vulnerabilidades pueden sobrevivir en esas capas (como vimos hace poco con Log4Shell). Administrar estos riesgos exige una planificación cuidada y la implementación de políticas de seguridad que aborden la superficie de posibles ataques en las bibliotecas de código abierto. Además, se debe brindar a las personas del equipo herramientas confiables y eficaces para la corrección de vulnerabilidades detectadas, y se debe seguir el ritmo de las nuevas vulnerabilidades que surjan.

Con la proliferación del código abierto y árboles de dependencias cada vez más complejos, Snyk se asoció con la Fundación Linux para investigar cómo las organizaciones detectan, mitigan y reducen los riesgos de seguridad que plantea el software de código abierto. Nos enorgullece presentar el resultado de esta investigación: el Informe del estado de la seguridad para código abierto del 2022.

Números de importancia crítica que surgen de la investigación

En este informe anual, se detallan los riesgos de seguridad más importantes que surgen del uso expandido del software de código abierto. Nuestra investigación reveló que muchas organizaciones no están preparadas para lidiar con estos riesgos. Estos son nuestros descubrimientos:

• El 41 % de las organizaciones no tiene gran confianza en la seguridad de su software de código abierto.

• Una aplicación en desarrollo tiene, en promedio, 49 vulnerabilidades y 69 dependencias.

• El tiempo que lleva corregir vulnerabilidades en proyectos de código abierto aumenta sin cesar. Se incrementó más del doble, de 49 días en 2018 a 110 días en 2021.

• El 51 % de las organizaciones no tiene una política de seguridad para el desarrollo o uso de OSS (software de código abierto).

• El 30 % de las organizaciones que no implementa una política de seguridad para código abierto reconoce que nadie en sus equipos es responsable de la seguridad para el código abierto.

De todos modos, el descubrimiento más importante parece ser que muchas organizaciones aún no comprenden por completo el alcance de las posibles vulnerabilidades en paquetes de código abierto ni implementan políticas para proteger sus aplicaciones de forma eficaz. Usar paquetes de código abierto implica pensar de otro modo la seguridad para desarrolladores que muchas organizaciones aún no adoptaron.

Este informe en conjunto es el primero de su tipo y exhibe evidencia generalizada acerca de la ingenuidad de la industria sobre el estado actual de la seguridad de código abierto. Junto con la Fundación Linux, planeamos aprovechar estos descubrimientos para seguir educando y equipando a los desarrolladores de todo el mundo, a fin de empoderarlos para que continúen desarrollando con rapidez mientras conservan la seguridad.

Sin lugar a dudas, el uso del software de código abierto seguirá aumentando. Saber qué riesgos existen en los paquetes de código abierto y comprender cómo agregar protección frente a ellos puede empoderar a la organización de modo que use tecnología de código abierto de forma eficiente y segura. Buscar las herramientas y políticas sobre seguridad más eficaces para código abierto es la mejor manera de comenzar.

Acerca del proyecto

El Informe del estado de la seguridad para código abierto del 2022 es producto de la asociación entre Snyk y la Fundación Linux, con el apoyo de OpenSSF, Cloud Native Security Foundation, Continuous Delivery Foundation y Eclipse Foundation. El informe surge de una encuesta realizada a más de 550 personas en el primer trimestre de 2022 y de datos de Snyk Open Source, que escaneó más de 1300 millones de proyectos de código abierto.