CA Veracode, parte de la oferta de seguridad de CA Technologies, ha presentado nuevos datos que arrojan luz sobre la discrepancia entre la seguridad y el adecuado control de los componentes. Según un estudio llevado a cabo con la firma Vanson Bourne, solo el 52% de los desarrolladores que usan componentes comerciales o de código abierto en sus aplicaciones actualizan esos componentes cuando se anuncia una nueva vulnerabilidad de seguridad. Esto resalta la falta de concienciación sobre la seguridad en las organizaciones y las expone al riesgo de una brecha de seguridad.
Los procesos de desarrollo de software como DevSecOps han ayudado a mejorar la seguridad del código que escriben los programadores. Sin embargo, en esos mismos procesos de desarrollo se valora la velocidad y la eficiencia para mantenerse al día y poder satisfacer las demandas de la economía de las aplicaciones. Como resultado, los desarrolladores hacen uso de componentes que utilizan características y funcionalidades de proyectos y bibliotecas existentes. El estudio muestra que el 83% de los encuestados usa componentes comerciales o de código abierto, o ambos, con un promedio de 73 componentes por aplicación.
Si bien los componentes aumentan la eficiencia de los desarrolladores, y su uso se considera una buena práctica, estos componentes presentan riesgos de seguridad inherentes. A pesar de encontrar un promedio de 71 vulnerabilidades por aplicación introducidas a través del uso de componentes de terceros, solo el 23% de los encuestados realizaron pruebas de vulnerabilidades en los componentes en cada versión. Esto puede ser el resultado de que solo el 71 % de las organizaciones declaran contar con un programa formal de seguridad de aplicaciones (AppSec).
Además, solo el 53 % de las organizaciones mantiene un inventario de todos los componentes en sus aplicaciones. De acuerdo con el Informe de seguridad del estado de software 2017, menos del 28% de las compañías hacen un análisis regular de composición para saber qué componentes forman parte de sus aplicaciones.
“A los desarrolladores les preocupa crear código de calidad, y eso significa crear código seguro”, indica Pete Chestna, director de relación con los desarrolladores, CA Veracode. “Para tener éxito, los desarrolladores han de conocer claramente las políticas de seguridad y deben disponer de las herramientas para medirlas. Cuando el objetivo está claro y les damos acceso a esas herramientas, son capaces de integrar el escaneo en las primeras fases del ciclo de vida de desarrollo del software y pueden tomar decisiones informadas que tienen en cuenta la seguridad. Gracias a ello, estamos viendo una importante mejora en el desarrollo de software seguro y en los productos resultantes”.
El estudio también muestra que el 44% de los equipos de desarrollo y el 31% de los de seguridad son, con más probabilidad, los responsables del mantenimiento de componentes de código abierto y comercial de terceros, lo que sugiere un movimiento hacia mayor responsabilidad del equipo de desarrollo. A medida que aumenta el conocimiento sobre los riesgos del código abierto, proporcionar a los desarrolladores las soluciones, la visibilidad y la formación para mitigar esos riesgos se convierte en un elemento clave de desarrollo en el ámbito de una fábrica de software moderna para poder construir aplicaciones mejores, más seguras y de forma más rápida.
