Casi tres cuartas partes de las bases de código evaluadas en cuanto a riesgo por Synopsis en 2023 contenían componentes de código abierto con vulnerabilidades de alto riesgo, según un informe recién publicado de la empresa, un proveedor de herramientas de prueba de seguridad de aplicaciones.
Si bien la cantidad de bases de código con al menos una vulnerabilidad de código abierto se mantuvo constante año tras año en un 84%, dijo Synopsis, la cantidad que contenía vulnerabilidades de alto riesgo aumentó dramáticamente, del 48% en 2022 al 74% en 2023. Vulnerabilidades de riesgo como vulnerabilidades que han sido explotadas, o tienen exploits de prueba de concepto documentados, o han sido clasificadas como vulnerabilidades de ejecución remota de código.
Estos hallazgos se incluyeron en el noveno informe anual de la compañía. Informe de análisis de riesgos y seguridad de código abierto (OSSRA)presentado el 27 de febrero. El informe se basa en datos de un análisis del equipo de Synopsys Black Duck Audit Services de hallazgos anónimos de 1067 bases de código en 17 industrias en 2023. El equipo audita miles de bases de código de clientes anualmente, con el objetivo de identificar riesgos de software durante operaciones de fusiones y adquisiciones.
Otros hallazgos del informe Análisis de riesgos y seguridad de código abierto:
- Las organizaciones a menudo dependen de componentes de código abierto obsoletos o inactivos: el 91 % de las bases de código contienen componentes que tenían 10 o más versiones desactualizadas y el 49 % de las bases de código contienen componentes que no tuvieron actividad de desarrollo en los últimos dos años. Casi una cuarta parte de las bases de código tenían vulnerabilidades de más de 10 años.
- La industria de hardware informático y semiconductores tuvo el mayor porcentaje de vulnerabilidades de código abierto de alto riesgo (88%), seguida de la manufactura, la industria y la robótica con un 87%. Entre las empresas de inteligencia artificial, inteligencia empresarial, aprendizaje automático y big data, el 66 % de las bases de código se vieron afectadas por vulnerabilidades de alto riesgo.
- Ocho de las 10 vulnerabilidades principales involucraban debilidades de neutralización inadecuada, un tipo de debilidad que incluye secuencias de comandos entre sitios.
- Más de la mitad de las bases de código utilizaban código con conflictos de licencia de código abierto y el 31 % no tenía ninguna licencia discernible o tenía una licencia personalizada.
Copyright © 2024 IDG Communications, Inc.