Como indican en Infraestructura Convergente, un estudio conjunto realizado por las firmas Sonatype y Aspect Security ha abierto la polémica al asegurar que la mayoría de grandes compañías del top-500 de Fortune, utilizan aplicaciones creadas sobre componentes de código abierto (librerías y frameworks) con agujeros de seguridad.
El informe -basado en una encuesta a 2.550 desarrolladores, arquitectos de software y analistas- sostiene que el código abierto “pasa por alto los defectos de los ecosistemas”, principalmente por la falta de un sistema de notificación de alerta a los desarrolladores acerca de las vulnerabilidades y nuevas versiones con correcciones.“El 80% del código en las aplicaciones de hoy en día proviene de bibliotecas y frameworks. El riesgo de las vulnerabilidades de estos componentes es ampliamente ignorado y subestimado”, destacan.
El informe afirma, por ejemplo, que se han registrado 46 millones de descargas de versiones inseguras de las bibliotecas y frameworks de código abierto más populares, como Google Web Toolkit, Spring MVC, Struts 1.X. e Hibernate. Struts 2, que fue descargada más de un millón de veces por 18.000 empresas, contiene una vulnerabilidad crítica.