VULNERABILIDADES EN EL CÓDIGO ABIERTO PROLIFERAN

[BLOG INICIO]

El número de vulnerabilidades de software de código abierto reveladas en el 2019 llegó a más de 6000, frente a poco más de 4000 en 2018, según un nuevo informe de la compañía de seguridad WhiteSource.

Esto puede atribuirse al aumento de la conciencia sobre la seguridad del código abierto tras la adopción generalizada de sus componentes  y el crecimiento masivo de la comunidad de código abierto en los últimos años, junto con la atención de los medios de comunicación dirigida a las recientes vulnerabilidades de datos», señaló la empresa.





Descubrimiento, divulgación y listado

WhiteSource ha encuestado a más de 650 desarrolladores, ha recopilado información de la Base de Datos Nacional de Vulnerabilidad (NVD), también avisos de seguridad, bases de datos de vulnerabilidad revisadas por pares, rastreadores de problemas y más, y ha descubierto que:

  • Más del 85% de las vulnerabilidades de seguridad de código abierto se divulgan con una solución ya disponible.
  • Sólo el 84% de las vulnerabilidades de código abierto conocidas aparecen eventualmente en la NVD, algunas de ellas meses después de su revelación en otro lugar.
  • C sigue teniendo el porcentaje más alto de vulnerabilidades (30%) debido al alto volumen de código escrito en este lenguaje. Le siguen PHP (27%) y Java (15%).

El aumento de la popularidad de Python no ha ido seguido de un aumento del porcentaje de vulnerabilidades, se desconoce si eso es resultado de prácticas de codificación segura y no de una investigación de seguridad poco rigurosa para los proyectos de Python.

La naturaleza de las vulnerabilidades

Las debilidades de seguridad más comunes (CWEs) en el 2019 fueron las fallas de scripts en sitios cruzados (XSS), seguidas de vulnerabilidades de validación de entrada inadecuadas y errores de buffer:

La lista de los 5 primeros de 2019 difiere mínimamente de la lista del año anterior – en 2018, los errores de los buffers fueron los segundos de la lista y los errores de validación de entrada impropios los terceros, mientras que el resto es lo mismo.

«Lo que es preocupante es que los CWE más comunes se deben a simples errores de código y a una codificación imprecisa, que todos los desarrolladores podrían evitar apegándose a estándares de codificación bastante básicos», señalaron los investigadores.

«Aunque no están entre los cinco primeros, es interesante que CWE-352 – Cross-Site Request Forgery (CSRF), haya surgido entre los 10 primeros CWE este año, y que CWE-89 – SQL Injection, haya resurgido después de no haber sido uno de los primeros CWE desde el 2015. Esto podría deberse a un aumento en el volumen de proyectos web de código abierto desarrollados, y podría indicar que las vulnerabilidades de la web están en aumento y algo que debemos tener en cuenta a la hora de codificar».

Fuente: Reporte de WhiteSource

 

¿Qué piensas al respecto?

Por favor Ingrese para comentar
  Subscribete  
Notificar de