Los Riesgos y Vulnarabilidades del OpenSource (OSSRA)

El OSSRA (OpenSource Security and Risk Analysis) es un reporte que provee a profundidad una vista del estado de los riesgos de seguridad de los desarrollos OpenSource. Este reporte es construido por investigadores independientes y afiliados al CyRC (Synopsys Cibersecurity Research Center) alrededor del globo.

CyRC es el actual mantenedor de Black Duck KnowledgeBase, y es un garante de la indepdencia del resultado del estudio.

Tomando como base las constantes afirmaciones de los contradictores del software libre u OpenSource, el CyRC da notable garantía de la seguridad del software OpenSource, pero al mismo tiempo demuestra la independencia al demostrar también las vulnerabilidades y corrección de estos agujeros de seguridad.

El análisis de código se represento en diferentes industrias, como por ejemplo, transporte (Aeroespacial, Logística, Aviación), Big Data, Inteligencia Artificial, Ciber Seguridad, Software Empresarial, Energía e Industrial, Servicios Bancarios y Financieros. etc.

Es interesante ver que cada vez las empresas incluyen partes de código OpenSource a su código cerrado, pasando de 257 Componentes integrados en el 2017 a 298 componentes libres dentro del código auditado. Es tal el impacto del software OpenSource en las grandes empresas, que según mismas investigaciones de Forrester y Gartner, han dado resultado que los departamentos de TI confían cada vez más en software libre desempeñando actividades de misión critica.

Dentro de los componentes, se encontró a jQuery y jQuery UI como uno de los más representativos, seguido de Bootstrap, Font Awesome, Moment, Underscore, Json.net, JUnit, Lodash y Modernizr.

Aunque es un hecho que ningún software es 100% seguro por más libre o cerrado que sea, según el informe, el riesgo esta en que el software no actualizado es fuente de múltiples vulnerabilidades, siendo así, que muchas de las vulnerabilidades encontradas están directamente relacionados a este efecto. Un claro ejemplo son las casas desarrolladoras de software  que dicen «Mi Software solo es compatible con A o B versión del software OpenSouce» Cuando la comunidad ya va en la versión Z.

Es tal el riesgo, que el 68% del código auditado contenía parte de software OpenSource vulnerable que ya había sido corregido por la comunidad, pero las empresas no habían aplicado el parche por componentes de compatibilidad. Pero lo más preocupante no es la cantidad de código vulnerable, lo preocupante, es que el 48% de ese código no había sido actualizado hace más de 10 Años.

Aun asi, el software OpenSource sigue siendo una excelente alternativa para agilizar el desarrollo de aplicaciones sencillas o complejas, siendo responsabilidad de los desarrolladores de estas aplicaciones aplicar los parches que los componentes OpenSource lanzan constantemente, actividad que sabemos, poco aplican. Ya que, en comparación con el software privativo, las vulnerabilidades del software OpenSource son insignificantes.

El informe cierra con una serie de recomendaciones que deben ser aplicadas que hemos resumido:

  1. Crear y Reforzar Políticas de Desarrollo en Torno a los Riesgos del Software OpenSource, no delegar toda la responsabilidad a la comunidad.
  2. Mantener un Inventario Claro del Software OpenSource Utilizado, para asi mismo poder aplicar parches de seguridad.
  3. Ubicar las Vulnerabilidades Reportadas del Software OpenSource, esto con la finalidad de actuar en el momento oportuno.

Más Información: https://www.synopsys.com/content/dam/synopsys/sig-assets/reports/rep-ossra-19.pdf