Temas técnicos

¿Qué es la seguridad del código abierto?

Ilustración de artículos informáticos centrada en un ordenador portátil

Visión general

La seguridad de código abierto, comúnmente conocida como análisis de composición de software (SCA), es una metodología que proporciona a los usuarios una mejor visibilidad del inventario de código abierto de sus aplicaciones. Para ello, se examinan los componentes a través de huellas digitales binarias, se utiliza investigación propia y curada por profesionales, se cotejan análisis precisos con esa inteligencia propia y se proporciona a los desarrolladores esta inteligencia directamente dentro de sus herramientas favoritas.

¿Qué es el código abierto?

¿Qué es el código abierto?

El código abierto se refiere a cualquier software con código fuente accesible que cualquiera puede modificar y compartir libremente. El código fuente es la parte del software que los usuarios no ven; es el código que los programadores pueden crear y editar para cambiar el funcionamiento del software. Al tener acceso al código fuente de un programa, los desarrolladores o programadores pueden mejorarlo añadiéndole funciones o arreglando partes que no siempre funcionan correctamente.


¿Por qué utilizar software de código abierto?

En el vertiginoso mundo empresarial actual, los equipos de software han adoptado prácticas de desarrollo ágil como DevOps para seguir el ritmo de la demanda empresarial. Estas prácticas ejercen una gran presión sobre los desarrolladores para que creen y desplieguen aplicaciones con mayor rapidez. Para alcanzar con éxito sus objetivos dentro de ciclos cortos de lanzamiento de software, los desarrolladores utilizan con frecuencia componentes de software de código abierto. El software de código abierto (OSS) se distribuye libremente, lo que lo hace muy rentable. Muchos desarrolladores se benefician de empezar con OSS y luego modificarlo para adaptarlo a sus necesidades. Como el código es abierto, basta con modificarlo para añadirle la funcionalidad deseada.


¿Es el código abierto un riesgo para la seguridad?

No es ningún secreto... los desarrolladores utilizan software de código abierto.

Sin embargo, existen dudas sobre cómo debe gestionarse, y con razón.

He aquí por qué:

  • Los componentes de código abierto no son iguales. Algunos son vulnerables desde el principio, mientras que otros se estropean con el tiempo.
  • El uso se ha vuelto más complejo. Con decenas de miles de millones de descargas, cada vez es más difícil gestionar las bibliotecas y las dependencias directas.
  • Dependencias transitivas: si utilizas herramientas de gestión de dependencias como Maven (Java), Bower (JavaScript), Bundler (Ruby), etc., estarás introduciendo automáticamente dependencias de terceros, una responsabilidad que no puedes permitirte.
  • Más de 300.000 componentes de código abierto son descargados anualmente por la empresa media
  • En 2018, en miles de millones de descargas de versiones de componentes de código abierto, 1 de cada 10 componentes de código abierto tenía vulnerabilidades de seguridad conocidas (10,3%).
  • El 51% de las descargas de paquetes JavaScript contenían vulnerabilidades de seguridad conocidas.
  • Aumento del 71% en las infracciones confirmadas o sospechosas relacionadas con el código abierto desde 2014

¿Cómo identifico las vulnerabilidades del código abierto en mi software?

Las empresas necesitan proteger no sólo el código que escriben, sino también el código que consumen de los componentes de código abierto. Por eso, muchas organizaciones utilizan Sonatype para automatizar la gobernanza del código abierto a escala en todo el SDLC, desplazando la seguridad a las fases de desarrollo y construcción.

Descubra la mejor solución integrada de su clase para la seguridad del código personalizado y del código fuente abierto con OpenText™ Cybersecurity Cloud y Sonatype. La inteligencia precisa de código abierto proporciona una vista de 360 grados de los problemas de seguridad de la aplicación en todo el código personalizado y los componentes de código abierto en una sola exploración. Puede realizar búsquedas de vulnerabilidades de código personalizado y de código abierto en un único escaneo y panel.

Fortify también ofrece inteligencia y seguridad de código abierto a través de Debricked utilizando aprendizaje automático de última generación para obtener resultados más rápidos y precisos. Debricked es una solución de análisis de composición de software nativa en la nube que los desarrolladores desean utilizar y, a su vez, aumenta la productividad. Esta solución emplea un enfoque holístico con integraciones perfectas en el ciclo de vida de DevOps para gestionar de forma proactiva los riesgos de la cadena de suministro de software.

Notas a pie de página