El estado de seguridad de software de Veracode: Open Source Edition examina el efecto en cascada de fallas en las bibliotecas de código abierto ampliamente utilizadas para crear aplicaciones
BURLINGTON, Mass. – 19 de mayo de 2020 – Veracode, el proveedor global independiente más grande de soluciones de prueba de seguridad de aplicaciones (AST), lanzó hoy una nueva investigación que encuentra que siete de cada 10 aplicaciones tienen una falla de seguridad en una biblioteca de código abierto en el escaneo inicial, destacando cómo el uso de código abierto puede introducir fallas, aumentar el riesgo y aumentar la deuda de seguridad.
El estado de Veracode de seguridad de software (SOSS): edición de código abierto analizó las bibliotecas de código abierto de componentes en la base de datos de la plataforma Veracode de 85,000 aplicaciones, lo que representa 351,000 bibliotecas externas únicas. Casi todas las aplicaciones modernas, incluidas las que se venden comercialmente, se crean utilizando algunos componentes de código abierto. Un solo defecto en una biblioteca puede conectarse en cascada a todas las aplicaciones que aprovechan ese código. Según Chris Eng, director de investigación de Veracode, “el software de código abierto tiene una sorprendente variedad de fallas. La superficie de ataque de una aplicación no se limita a su propio código y al código de las bibliotecas incluidas explícitamente, porque esas bibliotecas tienen sus propias dependencias. En realidad, los desarrolladores están introduciendo mucho más código, pero si son conscientes y aplican las correcciones de manera adecuada, pueden reducir la exposición al riesgo “.
Los hallazgos clave incluyen:
Las bibliotecas de código abierto son ubicuas y presentan riesgos, pero hay soluciones disponibles.
- Las bibliotecas más comúnmente incluidas están presentes en más del 75% de las aplicaciones para cada idioma.
- La mayoría de las bibliotecas defectuosas terminan indirectamente en el código: el 47% de esas bibliotecas defectuosas en las aplicaciones son transitivas; en otras palabras, no son introducidas directamente por los desarrolladores, sino que son arrastradas por las bibliotecas ascendentes. Las fallas introducidas por la biblioteca en la mayoría de las aplicaciones se pueden solucionar con solo una actualización menor de la versión; Generalmente no se requieren actualizaciones importantes de la biblioteca.
- No todas las bibliotecas tienen vulnerabilidades y exposiciones comunes (CVE); esto significa que los desarrolladores no pueden confiar solo en CVE para comprender los defectos de la biblioteca. Por ejemplo, más del 61% de las bibliotecas defectuosas en JavaScript contienen vulnerabilidades sin los CVE correspondientes.
El lenguaje hace la diferencia
- Algunos ecosistemas lingüísticos tienden a atraer muchas más dependencias transitivas que otros. En más del 80% de las aplicaciones JavaScript, Ruby y PHP, la mayoría de las bibliotecas son dependencias transitivas.
- La selección del idioma marca la diferencia tanto en términos del tamaño del ecosistema como en la prevalencia de fallas en esos ecosistemas. La inclusión de cualquier biblioteca PHP dada tiene una probabilidad superior al 50% de traer consigo una falla de seguridad.
- Entre las fallas principales de OWASP, las debilidades en torno al control de acceso son las más comunes y representan más del 25% de todas las fallas. Cross-Site Scripting es la categoría de vulnerabilidad más común que se encuentra en las bibliotecas de código abierto, que se encuentra en el 30% de las bibliotecas, seguida de la deserialización insegura (23.5%) y el control de acceso roto (20.3%).
Sobre Veracode
Veracode es el socio líder de AppSec para crear software seguro, reducir el riesgo de violación de seguridad y aumentar la productividad de los equipos de seguridad y desarrollo. Como resultado, las compañías que usan Veracode pueden hacer avanzar sus negocios y el mundo. Con su combinación de automatización, integraciones, procesos y velocidad, Veracode ayuda a las empresas a obtener resultados precisos y confiables para centrar sus esfuerzos en corregir, no solo encontrar, vulnerabilidades potenciales.
Veracode atiende a más de 2.500 clientes en todo el mundo en una amplia gama de industrias. La plataforma en la nube Veracode ha evaluado más de 14 billones de líneas de código y ha ayudado a las empresas a solucionar más de 46 millones de fallas de seguridad.