Pese a los riesgos por exposición de vulnerabilidades como en el caso Wannacry, menos del 25 por ciento de los desarrolladores prueban los componentes en busca de vulnerabilidades en cada versión.

CA Veracode, parte de la oferta de seguridad de CA Technologies, ha presentado nuevos datos que arrojan luz sobre la discrepancia entre la seguridad y el adecuado control de los componentes. Según un estudio llevado a cabo con la firma Vanson Bourne, solo el 52% de los desarrolladores que usan componentes comerciales o de código abierto en sus aplicaciones actualizan esos componentes cuando se anuncia una nueva vulnerabilidad de seguridad. Esto resalta la falta de concienciación sobre la seguridad en las organizaciones y las expone al riesgo de una brecha de seguridad.

Los procesos de desarrollo de software como DevSecOps han ayudado a mejorar la seguridad del código que escriben los programadores. Sin embargo, en esos mismos procesos de desarrollo se valora la velocidad y la eficiencia para mantenerse al día y poder satisfacer las demandas de la economía de las aplicaciones. Como resultado, los desarrolladores hacen uso de componentes que utilizan características y funcionalidades de proyectos y bibliotecas existentes. El estudio muestra que el 83% de los encuestados usa componentes comerciales o de código abierto, o ambos, con un promedio de 73 componentes por aplicación.

Si bien los componentes aumentan la eficiencia de los desarrolladores, y su uso se considera una buena práctica, estos componentes presentan riesgos de seguridad inherentes. A pesar de encontrar un promedio de 71 vulnerabilidades por aplicación introducidas a través del uso de componentes de terceros, solo el 23% de los encuestados realizaron pruebas de vulnerabilidades en los componentes en cada versión. Esto puede ser el resultado de que solo el 71 % de las organizaciones declaran contar con un programa formal de seguridad de aplicaciones (AppSec).

Además, solo el 53 % de las organizaciones mantiene un inventario de todos los componentes en sus aplicaciones. De acuerdo con el Informe de seguridad del estado de software 2017, menos del 28% de las compañías hacen un análisis regular de composición para saber qué componentes forman parte de sus aplicaciones.

“A los desarrolladores les preocupa crear código de calidad, y eso significa crear código seguro”, indica Pete Chestna, director de relación con los desarrolladores, CA Veracode. “Para tener éxito, los desarrolladores han de conocer claramente las políticas de seguridad y deben disponer de las herramientas para medirlas. Cuando el objetivo está claro y les damos acceso a esas herramientas, son capaces de integrar el escaneo en las primeras fases del ciclo de vida de desarrollo del software y pueden tomar decisiones informadas que tienen en cuenta la seguridad. Gracias a ello, estamos viendo una importante mejora en el desarrollo de software seguro y en los productos resultantes”.

El estudio también muestra que el 44% de los equipos de desarrollo y el 31% de los de seguridad son, con más probabilidad, los responsables del mantenimiento de componentes de código abierto y comercial de terceros, lo que sugiere un movimiento hacia mayor responsabilidad del equipo de desarrollo. A medida que aumenta el conocimiento sobre los riesgos del código abierto, proporcionar a los desarrolladores las soluciones, la visibilidad y la formación para mitigar esos riesgos se convierte en un elemento clave de desarrollo en el ámbito de una fábrica de software moderna para poder construir aplicaciones mejores, más seguras y de forma más rápida.

Mayo-junio 2018