No deje el código abierto abierto a vulnerabilidades

¿No pudiste asistir a Transform 2022? ¡Vea todas las sesiones de la cumbre en nuestra biblioteca a pedido ahora! Mira aquí.

El software de código abierto se ha convertido en la columna vertebral de la economía digital: representa aproximadamente el 70-90 % de todo el software moderno.

Pero si bien tiene muchas ventajas (es colaborativo, escalable, flexible y rentable), también está plagado de vulnerabilidades y otros problemas de seguridad conocidos y aún por descubrir. Dada la explosión en su adopción, representa un riesgo significativo para las organizaciones en todos los niveles.

Los problemas emergentes agravan las vulnerabilidades tradicionales y los riesgos de licencias, lo que destaca la urgencia y la importancia de proteger el código de software de fuente abierta (OSS) que se hace público y está disponible gratuitamente para que cualquiera lo distribuya, modifique, revise y comparta.

"Recientemente, el ecosistema de código abierto ha estado bajo asedio", dijo David Wheeler, director de seguridad de la cadena de suministro de código abierto en la Fundación Linux.

Evento

MetaBeat 2022

MetaBeat reunirá a líderes de opinión para asesorar sobre cómo la tecnología del metaverso transformará la forma en que todas las industrias se comunican y hacen negocios el 4 de octubre en San Francisco, CA.

registrarse aquí

Señaló que los ataques no son exclusivos del código abierto. Solo mire el asedio devastador de la cadena de suministro Orion de SolarWinds, que es un sistema cerrado. En última instancia, "necesitamos proteger todo el software, incluido el ecosistema de código abierto".

Situación crítica para el código abierto

Según un informe de la Fundación Linux, los líderes tecnológicos son muy conscientes de este hecho, pero han tardado en adoptar medidas de seguridad para el código abierto.

Entre los resultados:

Solo el 49% de las organizaciones tienen una política de seguridad que cubre el desarrollo o uso (OSS). El 59% de las organizaciones dicen que su OSS es relativamente seguro o muy seguro. Solo el 24% de las organizaciones confía en la seguridad de sus dependencias directas.

Además, en promedio, las aplicaciones tienen al menos cinco vulnerabilidades críticas sin resolver, según el informe.

Ejemplo: los problemas sistémicos que llevaron al incidente de Log4Shell. La vulnerabilidad de software en Apache Log4j, una popular biblioteca de Java para registrar mensajes de error en las aplicaciones, era compleja y generalizada y afectaba aproximadamente al 44 % de las redes corporativas en todo el mundo. Y todavía afecta a las empresas hoy en día.

Como resultado, un informe reciente de la Junta de Revisión de Seguridad Cibernética indicó que Log4j se ha convertido en una "vulnerabilidad endémica" que será explotada durante años.

Mientras tanto, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) anunció recientemente que las versiones de un popular paquete de NPM, "ua-parser-js", contenían código malicioso. El paquete se usa en aplicaciones y sitios web para descubrir el tipo de dispositivo o navegador que se usa. Las computadoras o dispositivos comprometidos pueden permitir que los atacantes remotos obtengan información confidencial o tomen el control del sistema.

En última instancia, cuando se revela públicamente una vulnerabilidad en OSS, los atacantes utilizarán esa información para sondear el sistema...

  Inauguración   Aug 18, 2022   0   37  Add to Reading List
No deje el código abierto abierto a vulnerabilidades

¿No pudiste asistir a Transform 2022? ¡Vea todas las sesiones de la cumbre en nuestra biblioteca a pedido ahora! Mira aquí.

El software de código abierto se ha convertido en la columna vertebral de la economía digital: representa aproximadamente el 70-90 % de todo el software moderno.

Pero si bien tiene muchas ventajas (es colaborativo, escalable, flexible y rentable), también está plagado de vulnerabilidades y otros problemas de seguridad conocidos y aún por descubrir. Dada la explosión en su adopción, representa un riesgo significativo para las organizaciones en todos los niveles.

Los problemas emergentes agravan las vulnerabilidades tradicionales y los riesgos de licencias, lo que destaca la urgencia y la importancia de proteger el código de software de fuente abierta (OSS) que se hace público y está disponible gratuitamente para que cualquiera lo distribuya, modifique, revise y comparta.

"Recientemente, el ecosistema de código abierto ha estado bajo asedio", dijo David Wheeler, director de seguridad de la cadena de suministro de código abierto en la Fundación Linux.

Evento

MetaBeat 2022

MetaBeat reunirá a líderes de opinión para asesorar sobre cómo la tecnología del metaverso transformará la forma en que todas las industrias se comunican y hacen negocios el 4 de octubre en San Francisco, CA.

registrarse aquí

Señaló que los ataques no son exclusivos del código abierto. Solo mire el asedio devastador de la cadena de suministro Orion de SolarWinds, que es un sistema cerrado. En última instancia, "necesitamos proteger todo el software, incluido el ecosistema de código abierto".

Situación crítica para el código abierto

Según un informe de la Fundación Linux, los líderes tecnológicos son muy conscientes de este hecho, pero han tardado en adoptar medidas de seguridad para el código abierto.

Entre los resultados:

Solo el 49% de las organizaciones tienen una política de seguridad que cubre el desarrollo o uso (OSS). El 59% de las organizaciones dicen que su OSS es relativamente seguro o muy seguro. Solo el 24% de las organizaciones confía en la seguridad de sus dependencias directas.

Además, en promedio, las aplicaciones tienen al menos cinco vulnerabilidades críticas sin resolver, según el informe.

Ejemplo: los problemas sistémicos que llevaron al incidente de Log4Shell. La vulnerabilidad de software en Apache Log4j, una popular biblioteca de Java para registrar mensajes de error en las aplicaciones, era compleja y generalizada y afectaba aproximadamente al 44 % de las redes corporativas en todo el mundo. Y todavía afecta a las empresas hoy en día.

Como resultado, un informe reciente de la Junta de Revisión de Seguridad Cibernética indicó que Log4j se ha convertido en una "vulnerabilidad endémica" que será explotada durante años.

Mientras tanto, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) anunció recientemente que las versiones de un popular paquete de NPM, "ua-parser-js", contenían código malicioso. El paquete se usa en aplicaciones y sitios web para descubrir el tipo de dispositivo o navegador que se usa. Las computadoras o dispositivos comprometidos pueden permitir que los atacantes remotos obtengan información confidencial o tomen el control del sistema.

En última instancia, cuando se revela públicamente una vulnerabilidad en OSS, los atacantes utilizarán esa información para sondear el sistema...

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow