Parece que la situación en torno a la seguridad del software de código abierto es cada vez más preocupante, o al menos esa es la impresión que da el goteo de informes que alertan en ese sentido. Después de que VMWare publicara un estudio en el que mostraba un enfriamiento en la confianza, ahora es Synosys la que alerta de que un importantísimo porcentaje de las bases de código contienen al menos una vulnerabilidad grave.
Según un informe publicado por el Centro de Investigación en Ciberseguridad de Synopsys llamado Análisis de Riesgos y Seguridad del Código Abierto, el 84% de 1.703 bases de código que ha escaneado en el año 2022 contenían al menos una vulnerabilidad. Otro detalle a tener en cuenta es que el 48% de las mismas bases de código tenían vulnerabilidades de alto riesgo.
Aunque el informe se centra en el código abierto, es importante tener en cuenta que no está centrado exclusivamente en eso, sino más bien en las bases de código que contienen Open Source. En el siguiente gráfico se puede apreciar cómo los porcentajes de bases de código que contienen Open Source y de código en las propias bases que era abierto ha ido disminuyendo en los últimos años, a pesar de marcar unos porcentajes del 96 y el 76 por ciento respectivamente.
Otro dato de interés recogido por el informe y procedente de Gartner es que el 45% de las organizaciones del mundo recibirán un ataque a través de una vulnerabilidad presente en su cadena de suministro para el año 2025, lo cual supone una cantidad nada desdeñable, aunque acorde a lo que ya conocemos..
Synopsys explica que, si una organización no es capaz de gestionar correctamente la seguridad del código abierto y del software de terceros que emplea, ningún otro esfuerzo será útil si no se cuidan correctamente los cimientos: “Administrar este software implica obtener una visibilidad completa de sus dependencias y tener la capacidad de recopilar fácilmente información relacionada con el riesgo introducido por estos componentes. Una vez que se ha identificado este riesgo, necesita herramientas y prácticas para administrarlo, priorizarlo y remediarlo”.
Lejos de apostar directamente por el oscurantismo como forma de mejorar la seguridad, Synopsys aboga por realizar un inventario completo del todo el software empleado por una empresa, ya sea de código abierto, privativo o comercial, independientemente de su lugar de procedencia. Esto implicaría la creación de una lista de materiales de software (SBOM en sus siglas en inglés) en la que se enumerarían todos los componentes de código abierto de una aplicación, así como sus licencias, versiones y estado de los parches.
En contraste con el dato mencionado, la situación de la adopción del Open Source dentro de las bases de código ha mejorado si se toman los últimos cinco años. La presencia de código abierto en las bases escaneadas por Synopsys ha aumentado entre en los años 2018 y 2022 en un 163% en la tecnología educativa (EDTech); un 97% en las industrias aeronáutica, aviación y automoción; y un 74% en fabricación y robótica. El aumento explosivo en la EDTech se ha producido principalmente en la época de la pendemia.
El crecimiento en la adopción del Open Source entre los años 2018 y 2023 ha venido acompañado, aunque no necesariamente de forma relacionada, de un aumento del 557% en el número de vulnerabilidades de alto riesgo. De aquí se puede destacar a los sectores aeroespacial, aviación, automoción, transporte y logística vertical, que experimentaron en conjunto un aumento del 232% en las vulnerabilidades de alto riesgo halladas en sus bases de código.
En lo que respecta al IoT, un clásico cuando se trata de poca seguridad y software mal mantenido, el 100% de las bases de código analizadas por Synopsys contenían código abierto. Sin embargo, la cantidad de vulnerabilidades de alto riesgo aumentó un 130% desde 2018 hasta el presente año y el 53% de las aplicaciones auditadas contenían vulnerabilidades de alto riesgo. Los problemas de seguridad del IoT son viejos y derivan principalmente de software mal mantenido. La gravedad del problema ha sido tal que los ataques DDoS más potentes jamás vistos han procedido de este frente.
Synopsys recoge que el equipo de Black Duck Audit Services ha auditado 1.481 bases de código para hallar que el 91% de estas contiene componentes de código abierto que no están actualizados. El software sin actualizar es otra vía típica para acumular fallos de seguridad que se lo ponen fácil a los actores maliciosos.
Además de los asuntos en torno a la seguridad, el informe de Análisis de Riesgos y Seguridad del Código Abierto. En esta área, Black Duck Audit Services ha encontrado que el 54% de las bases de código contenían conflictos con las licencias de código abierto en 2022. Esto supone un aumento del 2% en comparación con el año anterior, pero una disminución del 17% frente al año 2020. La licencia que ha causado más conflictos (por su incumplimiento) es la Reconocimiento-Compartir Igual 3.0 de Creative Commons (CC BY-SA 3.0), ya que el 22% de las bases de código auditadas tenían un conflicto con ella.
Synopsys también se ha acordado de la GPL, la licencia con copyleft más popular. Aquí la mayoría de los conflictos proceden de la inclusión de código fuente publicado bajo licencia en software privativo cuyo código no está disponible de forma pública y bajo una licencia compatible (por ejemplo, el código fuente de UNRAR está disponible de forma pública, pero bajo una licencia privativa). Por otro lado, el 31% de las bases de código auditadas en 2022 estaba publicado bajo una licencia que no se podía discernir o una personalizada, lo que representa un aumento del 55% en comparación con el año anterior. Un ejemplo es JSON, cuya licencia es una MIT modificada con la restricción de “el software se utilizará para el bien, no para el mal”, la cual puede representar un incumplimiento de los principios del software libre.
Además de los conflictos de licencias, también está el software sin licenciar. Synopsys señala que, si bien lo lógico es pensar que si ese código está disponible es para que otros lo puedan usar, la falta de una licencia clara en torno a su publicación hace que la ley sobre derechos de autor discrepe sobre el libre uso de dicho código.
Y hasta aquí los puntos más interesantes del informe Análisis de Riesgos y Seguridad del Código Abierto de Synopsis, el cual tiene muchos más datos relacionados con el uso del Open Source en las bases de código, la seguridad de las propias bases de código y en torno a las licencias.