A medida que aumenta el consumo de software de código abierto (OSS), se ha producido un aumento del 156% en el malware de código abierto, según nuevos hallazgos de Sonatype.
Se han identificado más de 704.102 paquetes maliciosos desde 2019, y 512.847 de ellos se han descubierto desde noviembre de 2023, según el "décimo informe anual sobre el estado de la cadena de suministro de software". El informe de Sonatype estuvo respaldado por datos de más de siete millones de proyectos de código abierto.
Este año ha sido un año récord para el consumo de código abierto, según Sonatype, alcanzando un estimado de 6,6 billones de descargas.
- Se espera que JavaScript (npm) genere la asombrosa cifra de 4,5 billones de solicitudes en 2024, lo que representa un crecimiento interanual del 70% en solicitudes.
- Se estima que Python (PyPI), impulsado por la inteligencia artificial y la adopción de la nube, alcanzará 530 mil millones de solicitudes de paquetes para fines de 2024, un aumento interanual del 87%, según los hallazgos de Sonatype.
Npm es un administrador de paquetes para el lenguaje de programación JavaScript y PyPI un administrador de paquetes para Python.
La compañía dijo que las organizaciones continúan luchando con una mitigación eficiente de riesgos y, si bien la investigación de Sonatype se centra en el aumento de proyectos de código abierto infectados, el informe señaló que todo el software comercial o de código abierto eventualmente tendrá errores que evolucionarán hacia vulnerabilidades.
A pesar de que más del 99% de los paquetes tienen versiones actualizadas disponibles, el 80% de las dependencias de las aplicaciones permanecen sin actualizar durante más de un año. Además, el 95% de las veces, cuando se consumen componentes vulnerables, ya existe una versión reparada.
El riesgo es persistente y el 13% de las descargas de Log4j siguen siendo vulnerables, tres años después de la exposición de Log4shell. También se observó que los editores luchan por mantenerse al día con la corrección de CVE, ya que varias vulnerabilidades tardan más de 500 días en solucionarse.
Entre 2013 y 2023, hubo un crecimiento del 463% en CVE
En el informe, Sonatype hace un llamado a los fabricantes, consumidores y reguladores de software para que adopten prácticas de seguridad sólidas y dice que el equilibrio entre innovación y seguridad es más crítico que nunca.
- Prácticas de seguridad siempre activas, cuando herramientas como el Análisis de composición de software (SCA) se integran directamente en los procesos de CI/CD y durante todo el proceso de desarrollo, esto puede reducir el tiempo perdido por parte de los desarrolladores y proporcionar contexto para la toma de decisiones informadas y adelantarse a este riesgo.
- Es posible reducir el riesgo persistente centrándose en herramientas que ayuden a gestionar las dependencias y aplicar la detección de vulnerabilidades en tiempo real. De hecho, descubrimos que los proyectos que utilizan una lista de materiales de software (SBOM) para gestionar las dependencias de OSS mostraron una reducción de 264 días en el tiempo medio de reparación (MTTR) en comparación con aquellos que no lo hicieron.
"Durante la última década, hemos visto cómo los ataques a la cadena de suministro de software aumentan en sofisticación y frecuencia, particularmente con el aumento del malware de código abierto, mientras que los editores y consumidores se han mantenido relativamente estancados en lo que respecta a la seguridad", afirmó Brian Fox, CTO y Cofundador de Sonatype. "Para garantizar un ecosistema de código abierto vibrante y seguro para la próxima década, debemos construir una base de seguridad proactiva con vigilancia contra el malware de código abierto, menor complacencia del consumidor y gestión integral de la dependencia".
A pesar de los desafíos, la compañía señaló que los reguladores están comenzando a ponerse al día con los problemas. Están surgiendo nuevas políticas, incluida la Directiva Network and Information Systems Directive (NIS2) de la UE, que entrará en vigor el 17 de octubre de 2024, así como las próximas regulaciones que surgirán en India y Australia. Estas políticas están fomentando la adopción de listas de materiales de software (SBOM), con más de 60.000 SBOM publicadas en el último año.
Fuente: InfoSecurity Magazine