El Open Source tiene cada vez más presencia, pero en muchas ocasiones no son aplicaciones enteras bajo este concepto lo que realizan los desarrolladores, sino incluir componentes abiertos en sus creaciones privativas.
Según informan en Help Net Security, el número de componentes Open Source incluidos en aplicaciones privativas ha aumentado. A esto se suma el riesgo de que las aplicaciones puedan ser comprometidas por las vulnerabilidades presentes. Esta afirmación deriva de un informe realizado por Black Duck en el que auditaron 1.100 bases de código comerciales en 2017, y del que se puede destacar los siguientes datos:
- El 96% de las aplicaciones comprobadas contienen componentes Open Source, con una media de 257 por aplicación.
- El porcentaje medio de Open Source en las bases de código de las aplicaciones comprobadas creció del 36% al 57%, lo que sugiere que una gran cantidad de aplicaciones contienen ahora más código abierto que privativo.
Estos datos muestran la expansión y cada vez mayor adopción del código abierto entre los desarrolladores, una tendencia que está ahí no para quedar bien de cara a la galería, sino para reducir los costes de desarrollo, acelerar el tiempo de comercialización y la innovación, además de mejorar la productividad del propio desarrollo. Los componentes Open Source juegan un papel importante en las aplicaciones, ya que Bootstrap estuvo presente en el 40% de las aplicaciones escaneadas, seguido de jQuery, que fue incluido en el 36%. Sobre las vulnerabilidades, es importante tener en cuenta que el 80% de los ciberataques se realizan a nivel de la aplicación, por lo que su corrección tendría que ser un asunto muy importante para los desarrolladores.
Los analistas de Black Duck han encontrado que el 78% de las bases de código examinadas contienen al menos una vulnerabilidad, con una media de 64 vulnerabilidades por cada base de código.
Más preocupante resulta la situación en torno al IoT (el Internet de las Cosas), ya que de las aplicaciones escaneadas, una media del 77% de la base de código estaba compuesto por componentes Open Source, con una media de 677 vulnerabilidades halladas por cada aplicación. Que los dispositivos IoT (incluyendo el software que ejecuta) no ofrecen una buena seguridad no es algo nuevo, sino un problema que se lleva arrastrando desde hace años, sobre todo debido a un mantenimiento inadecuado en términos de seguridad.
Según el informe, el hecho de que el código de los componentes esté disponible hace que sus vulnerabilidades sean muy atractivas para los atacantes. Más del 54% de las vulnerabilidades halladas por Black Duck fueron consideradas de alto riesgo. Además, el 17% de las bases de código contenían vulnerabilidades populares como Heartbleed, Logjam, Freak, Drown y Poodle.