A medida que aumenta el consumo de software de código abierto (OSS), se ha
producido un aumento del 156% en el malware de código abierto, según nuevos
hallazgos de Sonatype.
Se han identificado más de 704.102 paquetes maliciosos desde 2019, y 512.847
de ellos se han descubierto desde noviembre de 2023, según el
«décimo informe anual sobre el estado de la cadena de suministro de
software». El informe de Sonatype estuvo respaldado por datos de más de siete millones
de proyectos de código abierto.
Este año ha sido un año récord para el consumo de código abierto, según
Sonatype, alcanzando un estimado de 6,6 billones de descargas.
-
Se espera que
JavaScript (npm)
genere la asombrosa cifra de 4,5 billones de solicitudes en 2024, lo que
representa un crecimiento interanual del 70% en solicitudes. -
Se estima que
Python (PyPI), impulsado por la inteligencia artificial y la adopción de la nube,
alcanzará 530 mil millones de solicitudes de paquetes para fines de 2024, un
aumento interanual del 87%, según los hallazgos de Sonatype.
Npm es un administrador de paquetes para el lenguaje de programación
JavaScript y PyPI un administrador de paquetes para Python.
La compañía dijo que las organizaciones continúan luchando con una mitigación
eficiente de riesgos y, si bien la investigación de Sonatype se centra en el
aumento de proyectos de código abierto infectados, el informe señaló que todo
el software comercial o de código abierto eventualmente tendrá errores que
evolucionarán hacia vulnerabilidades.
A pesar de que más del 99% de los paquetes tienen versiones actualizadas
disponibles, el 80% de las dependencias de las aplicaciones permanecen sin
actualizar durante más de un año. Además, el 95% de las veces, cuando se
consumen componentes vulnerables, ya existe una versión reparada.
El riesgo es persistente y el
13% de las descargas de Log4j
siguen siendo vulnerables, tres años después de la exposición de Log4shell.
También se observó que los editores luchan por mantenerse al día con la
corrección de CVE, ya que varias vulnerabilidades tardan más de 500 días en
solucionarse.
Entre 2013 y 2023, hubo un crecimiento del 463% en CVE
En el informe, Sonatype hace un llamado a los fabricantes, consumidores y
reguladores de software para que adopten prácticas de seguridad sólidas y dice
que el equilibrio entre innovación y seguridad es más crítico que nunca.
- Prácticas de seguridad siempre activas, cuando herramientas como el Análisis de composición de software (SCA) se integran directamente en los procesos de CI/CD y durante todo el proceso de desarrollo, esto puede reducir el tiempo perdido por parte de los desarrolladores y proporcionar contexto para la toma de decisiones informadas y adelantarse a este riesgo.
- Es posible reducir el riesgo persistente centrándose en herramientas que ayuden a gestionar las dependencias y aplicar la detección de vulnerabilidades en tiempo real. De hecho, descubrimos que los proyectos que utilizan una lista de materiales de software (SBOM) para gestionar las dependencias de OSS mostraron una reducción de 264 días en el tiempo medio de reparación (MTTR) en comparación con aquellos que no lo hicieron.
«Durante la última década, hemos visto cómo los ataques a la cadena de
suministro de software aumentan en sofisticación y frecuencia,
particularmente con el aumento del malware de código abierto, mientras que
los editores y consumidores se han mantenido relativamente estancados en lo
que respecta a la seguridad», afirmó Brian Fox, CTO y Cofundador de Sonatype.
«Para garantizar un ecosistema de código abierto vibrante y seguro para la
próxima década, debemos construir una base de seguridad proactiva con
vigilancia contra el malware de código abierto, menor complacencia del
consumidor y gestión integral de la dependencia».
A pesar de los desafíos, la compañía señaló que los reguladores están
comenzando a ponerse al día con los problemas. Están surgiendo nuevas
políticas, incluida la
Directiva Network and Information Systems Directive (NIS2)
de la UE, que entrará en vigor el 17 de octubre de 2024, así como las próximas
regulaciones que surgirán en India y Australia. Estas políticas están
fomentando la adopción de listas de materiales de software (SBOM), con más de
60.000 SBOM publicadas en el último año.
Fuente:
InfoSecurity Magazine