• Estudio de CA Veracode señala que apenas el 23% de los componentes de terceros son puestos a prueba en cada etapa de desarrollo del software
  • En promedio, se encuentran 71 vulnerabilidades insertadas en las aplicaciones a través de código abierto o soluciones comerciales
  • Menos del 30% de las empresas productoras de software realizan análisis regulares sobre la composición de sus productos

Ciudad de México, 3 de mayo de 2018 – Una investigación realizada por CA Veracode, empresa líder en el mercado de Seguridad y adquirida por CA Technologies, aclara las diferencias entre la seguridad e higiene de los componentes de código abierto. De acuerdo con la encuesta, casi la mitad de los programadores (48%) no actualiza las soluciones desarrolladas que utilizan componentes de código abierto o comerciales, incluso cuando el mercado divulga una nueva vulnerabilidad de seguridad.

Los datos evidencian que la seguridad todavía no es considerada una prioridad para diversas las organizaciones, poniéndolas así bajo riesgo en sus negocios.

Nuevas técnicas para el desarrollo de software, como el DevSecOps, que trabaja con la seguridad desde el comienzo del proceso, mejoran la calidad de los códigos. Esta es una metodología que valora la velocidad y eficiencia para acompañar las demandas del mercado, y hace que los desarrolladores busquen recursos y funcionalidades de proyectos ya existentes. Según la encuesta, el 83% de los entrevistados utilizan, en promedio, 73 componentes de terceros durante la producción de un software.

Aunque los componentes aumenten la eficiencia de los desarrolladores y su uso sea recomendado, estos normalmente presentan riesgos de seguridad, apunta el estudio. A pesar de que el 71% de las compañías afirman tener un programa formal de seguridad de aplicaciones (AppSec), sólo el 23% de los encuestados ponen a prueba las vulnerabilidades de los componentes en cada release. Según la investigación, se encuentra una media de 71 vulnerabilidades, insertadas por códigos de terceros, en cada aplicación.

Además, solo el 53% de las organizaciones mantienen un inventario de todos los componentes utilizados en sus aplicaciones. De acuerdo con The State of Software Security Report 2017, menos del 28% de las empresas realizan análisis regulares sobre la composición de sus softwares para entender qué componentes están incorporados en sus aplicaciones.

“Entendemos que los desarrolladores se preocupan en crear un código excelente, y eso significa crear un código seguro”, comenta Pete Chestna, director de compromiso de desarrolladores de CA Veracode. “Sin embargo, para lograr el éxito, los desarrolladores necesitan conocer la política de seguridad y las herramientas de medición. Cuando la meta es clara y les ofrecemos el acceso a estas herramientas a los profesionales, ellos podrán integrar las pruebas desde la etapa del desarrollo y así tomar mejores decisiones, enfocándose en la seguridad. El resultado irá generar más calidad y más resultados para los negocios”, enfatiza Chestna.

El informe demuestra que los equipos de Desarrollo (44%) y Seguridad (31%) son los principales responsables por el mantenimiento de componentes de terceros, lo que aumenta la responsabilidad del equipo de Desarrollo. Con una mayor comprensión sobre los riesgos del código abierto, es importante también proveer soluciones, entrenamiento y visibilidad a los desarrolladores para mitigar dichos riesgos. De esa manera, el enfoque de la Fábrica de Software Moderna se establece como un elemento fundamental para apoyar el desarrollo de aplicaciones más seguras, eficientes y que ofrecen más rapidez en su uso.

Metodología
CA Veracode contrató a Vanson Bourne para entrevistar a 400 desarrolladores de aplicaciones de los Estados Unidos (200 encuestados), de Reino Unido (100 encuestados) y de Alemania (100 encuestados) para entender la madurez de la seguridad de los componentes de las organizaciones. El estudio se realizó online en febrero de 2018.