El 91 por ciento de las bases de código comercial contienen componentes de código abierto que no se han mantenido desde hace dos años; las vulnerabilidades también están muy extendidas. Este es el panorama que pintan las 1.500 auditorías que se han incorporado al "Análisis de Seguridad y Riesgo del Código Abierto" de Synopsys.
Cada año, el Centro de Investigación de Ciberseguridad (CyRC) de Synopsys analiza los informes de auditoría elaborados por el equipo "Black Duck Audit Services" y procesa los resultados en el informe "Análisis de Seguridad y Riesgo del Código Abierto" (OSSRA). El informe arroja luz sobre el uso y la influencia de los componentes de código abierto en las aplicaciones comerciales.
Según el informe, el código abierto se encuentra en la mayoría de las aplicaciones de todos los sectores. En el campo de la tecnología de marketing, ninguna de las empresas auditadas puede prescindir del software de código abierto; se encontraron vulnerabilidades en el 95 por ciento de los casos. El código abierto también enriquece el sector sanitario (98% de las bases de código) y el financiero (97%), pero desgraciadamente también con vulnerabilidades (67 y 60% respectivamente).
Según Synopsys, el uso generalizado de componentes huérfanos de código abierto es especialmente preocupante. El 91% de las bases de código contenían dependencias de código abierto que no se habían desarrollado en los dos años anteriores. Por lo tanto, el código no se mejoró ni se pusieron a disposición los parches de seguridad durante este período.
Esto no es sorprendente, comenta Tim Mackey, principal estratega de seguridad de Synopsys CyRC, después de todo, el bienestar del código abierto depende del compromiso de la comunidad: "Si hay una falta de compromiso adecuado de la comunidad, puede afectar a la viabilidad de todo el proyecto." En vista de los problemas de seguridad asociados, las empresas deberían apoyar financieramente y con personal los proyectos que son críticos para su éxito.
Dependencias antiguas y violaciones de licencias
Pero la falta de mantenimiento también va en el otro sentido: en el 85 por ciento de todas las bases de código, se encontraron dependencias de código abierto que han quedado obsoletas desde hace más de cuatro años, aunque las respectivas comunidades de desarrolladores siguen activas. Además de los problemas de seguridad causados por la falta de parches, las empresas y los desarrolladores también están aceptando otro riesgo, dice Synopsys, "a saber, la funcionalidad no deseada y los problemas de compatibilidad que pueden producirse con futuras actualizaciones"."
Otro problema que señalan regularmente los proveedores de análisis de composición de software son las violaciones de los términos de las licencias libres. En las auditorías más recientes, Synopsys encontró las correspondientes deficiencias en nueve de cada diez bases de código, que van desde conflictos de licencia hasta referencias de licencia incorrectas y adaptadas o completamente ausentes.
Los conflictos de licencia suelen producirse en relación con la GPL (Licencia Pública General) de GNU. Una buena cuarta parte de las bases de código utilizan componentes de código abierto sin ninguna licencia o con una licencia adaptada. Por lo tanto, las empresas deben tener una visión precisa de las dependencias que utilizan y en qué condiciones. Las empresas también deben ser capaces de evaluar las preocupaciones legales, así como las infracciones de los derechos de propiedad intelectual en el período previo a las transacciones de fusiones y adquisiciones.
Para obtener más información, los interesados pueden leer el Informe OSSRA 2021 y el blog de Synopsys.