Un nuevo estudio, basado en los resultados de más de 1700 auditorías de bases de código comerciales y patentadas involucradas en transacciones de fusiones y adquisiciones, encuentra que el 84 % contiene al menos una vulnerabilidad conocida de código abierto, un aumento de casi el 4 % con respecto al año pasado.
El informe Open Source Security and Risk Analysis (OSSRA), elaborado por Synopsys Cybersecurity Research Center (CyRC), muestra un uso creciente del código abierto. En el sector de la tecnología educativa ha crecido un 163 por ciento, con cursos educativos e interacciones entre instructores y estudiantes cada vez más en línea.
Otras áreas que experimentaron un gran aumento en el crecimiento del código abierto incluyen el sector aeroespacial, aeronáutico, automotriz, de transporte y logística, con un aumento del 97 %, y la fabricación y la robótica con un crecimiento del 74 %.
Desde 2019, vulnerabilidades de alto riesgo en el El sector minorista y de comercio electrónico ha aumentado un 557 por ciento. El sector de Internet de las cosas, con un 89 % del código total de código abierto, ha experimentado un aumento del 130 % en las vulnerabilidades de alto riesgo en el mismo período. Del mismo modo, la industria aeroespacial, la aviación, la automoción, el transporte y la logística experimentaron un aumento del 232 % en las vulnerabilidades de alto riesgo.
El informe también revela que el 31 % de las bases de código utilizan código abierto sin una licencia discernible o con licencias personalizadas.. Este es un aumento del 55 por ciento con respecto al informe OSSRA del año pasado. La falta de una licencia asociada con el código de fuente abierta, o una variante de otra licencia de fuente abierta, puede imponer requisitos no deseados al licenciatario y, a menudo, requerirá una evaluación legal para posibles problemas de propiedad intelectual u otras implicaciones legales.
“La clave para administrar el riesgo de código abierto a la velocidad del desarrollo moderno es mantener una visibilidad completa de los contenidos de la aplicación”, dice Mike McGuire, gerente senior de soluciones de software dentro de Synopsys Software Integrity Group.”Al construir esta visibilidad en el ciclo de vida de la aplicación, las empresas pueden armarse con la información necesaria para tomar decisiones informadas y oportunas con respecto a la resolución de riesgos. Las organizaciones que aprovechan cualquier tipo de software de terceros deben asumir legítimamente que contiene código abierto. Verificar esto y estar al tanto del riesgo asociado es tan simple como obtener un SBOM, algo que proporciona fácilmente un proveedor que toma las medidas necesarias para asegurar su cadena de suministro de software”.
El informe completo está disponible en el sitio Synopsis.
Crédito de la imagen: Artur Szczybylo/Shutterstock