El informe señala la necesidad de que las empresas parcheen el software y los componentes de código abierto, dijo Mike McGuire, gerente senior de soluciones de software de Synopsys Software Integrity Group.
«Son las vulnerabilidades no parcheadas las que han provocado algunas de las filtraciones de datos más importantes», afirmó. «Podría decirse que es deber de estas empresas abordar las vulnerabilidades, especialmente si son proveedores de software comercial o manejan información confidencial de otra manera».
Aún así, no todas las vulnerabilidades son iguales y probablemente haya un «pequeño puñado» de vulnerabilidades identificadas en el informe que deben resolverse de inmediato, fuera de un ciclo de lanzamiento regular, agregó.
«Es crucial que una organización adopte los procesos y recursos no sólo para identificar vulnerabilidades, sino también para priorizar de manera efectiva cuáles necesitan atención urgente», dijo McGuire.
Muchos ojos ayudan
Los defensores del software de código abierto han argumentado durante mucho tiempo que prestar mucha atención al código genera menos errores y vulnerabilidades, y el informe no refuta esa afirmación, dijo McGuire.
«En todo caso, el informe respalda esa creencia», dijo. “El hecho de que haya tantas vulnerabilidades y CVE reveladas sirve como testimonio de cuán activa, vigilante y reactiva es la comunidad de código abierto, especialmente cuando se trata de abordar problemas de seguridad. Es esta misma comunidad la que está haciendo el trabajo de descubrimiento, divulgación y parcheo”.