0
0
A proporção de bases de código de código aberto com vulnerabilidades continuou estável nos últimos dois anos, mas o número de aplicativos com vulnerabilidades de alto risco caiu para o nível mais baixo em quatro anos.
Isso de acordo com o relatório “2023 Open Source Security and Risk Analysis” (OSSRA), publicado pela Synopsys em 22 de fevereiro. O estudo anual, baseado em auditorias de mais de 1.700 aplicativos, descobriu que quase todos os programas de software (96%) incluíam algum tipo de componente de software de código aberto, com a base de código média composta por 76% de código aberto. Embora o número de bases de código com pelo menos uma vulnerabilidade tenha permanecido praticamente estável nos últimos três anos em pouco mais de 80% — 84% em 2022 — o número de aplicativos com vulnerabilidades de alto risco caiu para cerca de metade (48%) de todos aplicativos testados, de um pico de cerca de 60% em 2020.
No geral, os dados mostram alguns pontos positivos na luta contra dependências vulneráveis, das quais o aplicativo médio tem 595, mas não há uma tendência ampla para maior segurança do aplicativo, diz Mike McGuire, gerente sênior de soluções de software do Synopsys Software Integrity Group.
“As organizações estão lutando para acompanhar a escala de uso de código aberto”, diz ele. “Se você pegar esses quase 600 componentes por aplicativo em média e multiplicar isso pelo número de vulnerabilidades divulgadas anualmente, poderá realmente começar a se afogar no trabalho.”
Os componentes de código aberto e as dependências das quais dependem as estruturas de aplicativos populares continuam a representar problemas de segurança para fabricantes de software e desenvolvedores de aplicativos. A onipresença de alguns componentes — como Log4j no ecossistema Java — continua a causar problemas de segurança para muitos aplicativos baseados em estruturas de código aberto.
Dependências desatualizadas são comuns
Aplicativos que incluem muitos componentes — e, por extensão, as dependências desses componentes — podem ter árvores de dependência profundas que dificultam a localização de todas as vulnerabilidades. Quase todos os aplicativos (91%), por exemplo, incluíram pelo menos um componente de código aberto que não teve desenvolvimento nos últimos dois anos, um provável sinal de que o projeto não está mais sendo mantido e, portanto, representa um risco de segurança.
Quase um em cada oito aplicativos também tinha mais de 10 versões diferentes de uma base de código específica, cada uma provavelmente importada de um componente diferente e das dependências desse componente.
Deixar de eliminar essas bases de código mais antigas representa um risco, afirmou a Synopsys no relatório da OSSRA .
“O código aberto estava em quase tudo que examinamos este ano; compunha a maioria das bases de código em todos os setores e continha um número preocupantemente alto de vulnerabilidades conhecidas que as organizações falharam em corrigir, deixando-as vulneráveis à exploração”, afirmou o relatório. “É crucial entender que, embora o código aberto em si não represente nenhum nível inerente de risco, falhar em gerenciá-lo sim”.
Se mais dependências significam mais vulnerabilidades ainda é uma relação sob investigação. Os frameworks JavaScript, por exemplo, tendem a ter o maior número de dependências, mas os aplicativos JavaScript tendem a ser menos vulneráveis do que os aplicativos Java e .NET, de acordo com um relatório divulgado pela empresa de segurança de software Veracode em janeiro .
Não fique para trás com dependências de código aberto
O impacto do código-fonte aberto na segurança varia de acordo com o setor, de acordo com o relatório da OSSRA. Algumas indústrias aumentaram seu uso de código aberto, enquanto outras consolidaram seu portfólio. Dependendo do seu nível de maturidade, o impacto na segurança pode ser diferente.
As empresas de tecnologia educacional, por exemplo, adotaram componentes de código aberto para impulsionar novos recursos e aplicativos exigidos pelas escolas durante a pressão pelo ensino online durante a pandemia. Nesse setor, o software de código aberto representou mais de 80% das bases de código em 2022, contra cerca de um terço em 2018. Outros setores também tiveram aumentos dramáticos, se não tão acentuados, no uso. Os setores aeroespacial, de aviação, automotivo, de transporte e logística, por exemplo, também quase dobraram o uso de componentes de código aberto em cinco anos.
O aumento significativo na adoção fez com que muitas empresas perdessem visibilidade sobre o que compõe seu software e o que precisa ser corrigido, diz McGuire.
“Mais organizações estão usando mais componentes de código aberto, mas elas simplesmente não têm programas para rastrear esses [patches]”, diz ele. “Depois que você fica submerso com essas atualizações – é como qualquer outra dívida técnica ou dívida em geral, certo? – é realmente difícil recuperar o caminho.”
Outras indústrias reduziram o uso de software de código aberto, provavelmente consolidando menos projetos como dependências, de acordo com o relatório. Tanto o setor de infraestrutura de Internet e software quanto o setor de telecomunicações e sem fio reduziram a contribuição do software de código aberto para suas bases de código para menos de 60%. Ambos os setores também observaram menos vulnerabilidades de alta gravidade.
FONTE: DARK READING